Sofisticirana iranska kampanja cyber špijunaže ponovo je pojačana, ciljajući visokopozicionirane osobe putem brižljivo osmišljenih spear-phishing operacija koje oponašaju glavne pružaoce elektronske pošte, uključujući Google, Outlook i Yahoo.
Ovu kampanju, koja je pripisana sajber prijetnji poznatoj kao Educated Manticore, predstavlja značajnu eskalaciju iranskih sposobnosti u oblasti cyber ratovanja, usred pojačanih geopolitičkih tenzija na Bliskom istoku.
Iranska grupa, također praćena pod aliasima APT42, Charming Kitten i Mint Sandstorm, djeluje pod okriljem Obavještajne organizacije Islamske revolucionarne garde (IRGC).
Njihove najnovije operacije pokazuju znatnu sofisticiranost u tehnikama socijalnog inženjeringa, koristeći izmišljene persone vezane za legitimne institucije, preciznu koordinaciju vremena i strategije komunikacije putem više kanala za kompromitovanje vjerodajnica i zaobilaženje sistema višefaktorske autentifikacije.
Nedavne obavještajne informacije ukazuju na to da je kampanja proširila opseg ciljanja kako bi uključila vodeće izraelske akademike iz oblasti računarstva, istraživače cybersigurnosti i istaknute novinare koji prate geopolitička dešavanja.
Analitičari kompanije Check Point identifikovali su preko 100 zlonamjernih domena, posebno dizajniranih da oponašaju legitimne usluge, s posebnim naglaskom na repliciranje interfejsa za autentifikaciju Googlea, Outlooka i Yahooa.
Prijetnje također su kreirale uvjerljive replike platformi za sastanke kao što je Google Meet kako bi olakšale svoje operacije prikupljanja vjerodajnica.
Operativna metodologija kampanje otkriva značajan taktički napredak. Početni vektori kontakta strateški variraju ovisno o profilima ciljeva, koristeći kako tradicionalnu elektronsku poštu, tako i šifrovane aplikacije za razmjenu poruka poput WhatsAppa.
Nakon uspostavljanja kontakta, žrtve se usmjeravaju ka sofisticiranoj phishing infrastrukturi koja koristi napredne okvire za web razvoj kako bi kreirala precizne replike legitimnih interfejsa za prijavljivanje.
Najzabrinjavajući aspekt ove kampanje leži u demonstriranoj sposobnosti Educated Manticorea da zaobiđu moderne sigurnosne kontrole, posebno sisteme višefaktorske autentifikacije.
Prijetnje koriste sofisticirane tehnike socijalnog inženjeringa koje navode žrtve da dobrovoljno dijele svoje kodove za autentifikaciju tokom phishing procesa, efikasno neutrališući ono što bi trebalo da bude robusna sigurnosna kontrola.
Vizuelna vjernost ovih lažnih stranica za autentifikaciju preusmjerava korisnike na infrastrukturu pod kontrolom napadača, istovremeno zadržavajući izgled legitimnih interakcija sa uslugama.
Sposobnosti grupacije u impersonaciji proširuju se i izvan tehničke infrastrukture, uključujući i kreiranje vrlo uvjerljivih persona. Napadači su uspješno preuzeli uloge zaposlenih srednjeg nivoa u velikim izraelskim kompanijama, vladinih zvaničnika iz Ureda premijera i profesionalaca iz etabliranih tehnoloških kompanija.
Ove komunikacije pokazuju gramatičku preciznost i formalnu strukturu, sugerišući moguću pomoć vještačke inteligencije u generisanju sadržaja, iako su suptilne nedosljednosti, poput manjih pravopisnih grešaka u imenima, povremeno otkrivale njihovu prevarantsku prirodu.
Ovaj izvještaj, prvobitno objavljen od strane Check Pointa, naglašava napredak u sofisticiranosti iranskih sajber napada. Kampanja, koju je provela grupa poznata kao Educated Manticore, koristi tehnike socijalnog inženjeringa kako bi prevarila mete, navodeći ih da otkriju svoje vjerodajnice i kodove za višefaktorsku autentifikaciju. Napadači kreiraju lažne web stranice koje vjerno oponašaju interfejse popularnih usluga kao što su Google, Outlook i Yahoo, a u nekim slučajevima čak i platforme za video konferencije poput Google Meeta. Ciljevi napada su visokorangirani pojedinci, uključujući akademike, istraživače cybersigurnosti i novinare u Izraelu, što ukazuje na strateški fokus kampanje. Metodologija uključuje upotrebu uvjerljivih izmišljenih persona, često povezanih s poznatim institucijama, te korištenje više kanala komunikacije, uključujući WhatsApp i e-poštu. Posebno zabrinjava njihova sposobnost da kod žrtava izazovu dobrovoljno dijeljenje kodova za dvofaktorsku autentifikaciju, što efikasno poništava ovu naprednu sigurnosnu mjeru. Grupa je također poznata pod imenima APT42, Charming Kitten i Mint Sandstorm, a vjeruje se da djeluje u ime Obavještajne organizacije Iranske revolucionarne garde, što dodatno naglašava geopolitički kontekst ovih napada.
