Un gruppo hacker legato all’Iran ha intrapreso una campagna di ingegneria sociale, fingendosi giornalisti e attivisti per i diritti umani: ecco come hanno agito.
Un’indagine condotta da Mandiant e Google Cloud ha rivelato che un gruppo di hacker riconducibili all’ala di intelligence del Corpo delle Guardie Rivoluzionarie dell’Iran ha messo in atto una sofisticata campagna di ingegneria sociale. Durante questa operazione, gli hacker si sono spacciati per giornalisti e attivisti per i diritti umani.
Le organizzazioni giornalistiche impersonate in tale operazione comprendono The Washington Post, The Economist e The Jerusalem Post. Inoltre, gli hacker hanno falsificato anche alcuni noti think tank di Washington, tra cui Aspen Institute, McCain Institute e Washington Institute.
Secondo le ricerche di Mandiant, gli hacker iraniani hanno sfruttato l’identità di queste organizzazioni per inviare richieste di phishing alle loro vittime, con l’intento di rubare le loro credenziali. In altri casi, gli attacchi sono stati realizzati dietro pagine di login generiche, servizi di hosting di file, e servizi legittimi come YouTube, Gmail, Google Meet e Google Drive.
L’APT42, così è noto il gruppo di hacker, si è finto giornalista e organizzatore di eventi per costruire un rapporto di fiducia con le vittime tramite corrispondenze continue e per consegnare inviti a conferenze o documenti legittimi. Questi stratagemmi di ingegneria sociale hanno permesso all’APT42 di rubare credenziali e utilizzarle per accedere per la prima volta agli ambienti Cloud delle vittime.
Tuttavia, Mandiant ha sottolineato che non esistono prove che le organizzazioni falsificate siano state effettivamente hackerate o compromesse in alcun modo.
Il report di Mandiant svela l’ultimo di una serie di incidenti in cui gruppi di hacker iraniani hanno utilizzato false identità per ingannare le loro vittime. Alla fine del 2020, SecureWorks aveva dettagliato uno sforzo dell’APT42 di utilizzare false identità e account sui social media per condurre attacchi di phishing a ricercatori in tutto il mondo focalizzati sull’Iran.
Gli sforzi finali dietro queste campagne sembrano essere quelli di spionaggio, con il gruppo che utilizza le credenziali rubate per accedere agli ambienti cloud delle organizzazioni vittime e sottrarre dati di interesse strategico per Teheran.
In molti casi, i documenti stessi non erano infetti da malware, una mossa che Mandiant ritiene sia stata fatta per stabilire un rapporto con le organizzazioni vittime e gettare le basi per il phishing delle credenziali. Una volta ottenute le credenziali, gli attori hanno eluso le protezioni dell’autenticazione a più fattori creando siti web clonati per catturare i token MFA e inviando notifiche push alle vittime.
Questo ha facilitato l’accesso agli ambienti cloud di Microsoft 365 delle vittime, dove APT42 è stato in grado di rubare dati da OneDrive, email di Outlook ed altri documenti relativi agli interessi geopolitici iraniani. L’attore ha utilizzato una combinazione di funzioni integrate e strumenti open-source per oscurare la loro presenza nelle reti delle vittime.
Sebbene altri gruppi di minacce iraniani si siano spostati verso attacchi distruttivi e distruttivi da quando è iniziato il conflitto tra Israele e Gaza, Mandiant ha detto che l’APT42 è rimasto concentrato sul suo tradizionale mandato di raccolta di informazioni da obiettivi stranieri.