Хакеры, связанные с иранским правительством, проводят кампанию социальной инженерии и фишинга, направленную против правозащитников, журналистов, исследователей, ученых, дипломатов и политиков, работающих на Ближнем Востоке. Жертвами стали не менее 20 человек. Об этом заявила
организация Human Rights Watch (HRW).
В ходе кампании была скомпрометирована электронная почта и украдены конфиденциальные данные, принадлежащие трём целям:
корреспондент крупной американской газеты;
защитница прав женщин из стран Персидского залива;
консультант по защите интересов Refugees International Николас Ноэ из Ливана.
Злоумышленники получили доступ к:
электронной почте;
облачному хранилищу;
календарям;
контактам.
А также украли все данные, связанные с аккаунтами Google, в виде архивных файлов через Google Takeout.
Цепочка заражения начинается с того, что жертва получает подозрительное сообщение в WhatsApp под предлогом приглашения на конференцию. В сообщении жертву убеждают перейти по ссылке на фишинговый сайт, имитирующий страницу входа в Microsoft, Google и Yahoo!, и захватить введенные учетные данные. 15 из 20 жертв получили одни и те же сообщения WhatsApp в период с 15 сентября по 25 ноября.
Эти фишинговые страницы также могут быть использованы в AiTM-атаке для взлома учетных записей c двухфакторной аутентификацией (2FA).
HRW также указала на недостатки в средствах защиты Google, поскольку предупреждения безопасности из-за активности в аккаунте Google не отображают какие-либо уведомления. Из-за этого жертвы атак даже не знали, что «их учетные записи Gmail были скомпрометированы или их данные выгружены через Google Takeout»
Активность угроз свидетельствует о более широкой кампании, в которой используются сокращатели URL-адресов для направления жертв на фишинговые страницы. Это поведение характерно для APT-группа, связанных с Ираном, таких как APT42 и Phosphorus .
Ранее исследователи из Mandiant отмечали, что группировка APT42 действует от имени Корпуса стражей исламской революции (КСИР) , а ее тактики, техники и процедуры (
Источник: SecurityLab