Hackers iraníes atacan a mujeres involucradas en derechos humanos y política

Los actores patrocinados por el estado iraní continúan participando en campañas de ingeniería social dirigidas a los investigadores haciéndose pasar por un grupo de expertos estadounidense.

"En particular, los objetivos en este caso fueron todas las mujeres que participan activamente en asuntos políticos y derechos humanos en la región de Medio Oriente", dijo la Unidad de Contraamenaza de Secureworks (CTU) en un informe compartido con The Hacker News.

La compañía de ciberseguridad atribuyó la actividad a un grupo de piratería que rastrea como Cobalt Illusion, y que también se conoce con los nombres APT35, Charming Kitten, ITG18, Phosphorus, TA453 y Yellow Garuda.

La persecución de académicos, activistas, diplomáticos, periodistas, políticos e investigadores por parte del actor de amenazas ha sido bien documentada a lo largo de los años.

Se sospecha que el grupo opera en nombre del Cuerpo de la Guardia Revolucionaria Islámica de Irán (IRGC) y ha exhibido un patrón de uso de personas falsas para establecer contacto con personas que son de interés estratégico para el gobierno.

"Es común que Cobalt Illusion interactúe con sus objetivos varias veces a través de diferentes plataformas de mensajería", dijo SecureWorks. "Los actores de amenazas primero envían enlaces y documentos benignos para construir una buena relación. Luego envían un enlace o documento malicioso a las credenciales de phishing para los sistemas a los que Cobalt Illusion busca acceder.

La principal de sus tácticas incluye aprovechar la recolección de credenciales para obtener el control de los buzones de correo de las víctimas, así como emplear herramientas personalizadas como HYPERSCRAPE (también conocido como EmailDownloader) para robar datos de las cuentas de Gmail, Yahoo! y Microsoft Outlook utilizando las contraseñas robadas.

Otro malware a medida vinculado al grupo es una herramienta de "captura" de Telegram basada en C ++ que facilita la recolección de datos a gran escala de las cuentas de Telegram después de obtener las credenciales del objetivo.

La última actividad involucra al adversario haciéndose pasar por un empleado del Consejo Atlántico, un grupo de expertos con sede en Estados Unidos, y contactando a investigadores de asuntos políticos y derechos humanos con el pretexto de contribuir a un informe.

Para hacer que la artimaña fuera convincente, las cuentas de redes sociales asociadas con la persona fraudulenta "Sara Shokouhi" (@SaShokouhi en Twitter y @sarashokouhii en Instagram) afirmaron tener un doctorado en política de Medio Oriente.

Además, se dice que las fotos de perfil en estas cuentas, según SecureWorks, fueron tomadas de una cuenta de Instagram perteneciente a un psicólogo y lector de cartas del tarot con sede en Rusia.

No está claro de inmediato si el esfuerzo resultó en algún ataque de phishing exitoso. La cuenta de Twitter, creada en octubre de 2022, permanece activa hasta la fecha al igual que la cuenta de Instagram.

"El phishing y la recopilación masiva de datos son tácticas centrales de Cobalt Illusion", dijo Rafe Pilling, investigador principal y líder temático de Irán en SecureWorks CTU, en un comunicado.

"El grupo lleva a cabo la recopilación de inteligencia, a menudo inteligencia centrada en el ser humano, como extraer el contenido de buzones de correo, listas de contactos, planes de viaje, relaciones, ubicación física, etc. Esta información probablemente se mezcla con otras fuentes y se utiliza para informar las operaciones militares y de seguridad de Irán, extranjeras y nacionales".

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta