Peretas Iran Menyamar Sebagai Cendekiawan Menargetkan Profesor dan Penulis di Timur Tengah

Peretas Iran

Serangan rekayasa sosial canggih yang dilakukan oleh aktor yang bersekutu dengan negara Iran menargetkan think tank, jurnalis, dan profesor dengan tujuan untuk mengumpulkan informasi sensitif dengan menyamar sebagai sarjana di School of Oriental and African Studies (SOAS) Universitas London.

Firma keamanan perusahaan, Proofpoint, mengaitkan kampanye tersebut — disebut “Operasi SpoofedScholars” — ke ancaman persisten tingkat lanjut yang dilacak sebagai TA453, yang juga dikenal dengan alias APT35 (FireEye), Charming Kitten (ClearSky), dan Phosphorous (Microsoft). Kelompok perang siber pemerintah diduga melakukan upaya intelijen atas nama Korps Pengawal Revolusi Islam (IRGC).

Bacaan Lainnya

“Target yang teridentifikasi termasuk para ahli dalam urusan Timur Tengah dari think tank, profesor senior dari lembaga akademis terkenal, dan jurnalis yang berspesialisasi dalam liputan Timur Tengah,” kata para peneliti dalam sebuah teknis tulisan dibagikan dengan The Hacker News. “Kampanye ini menunjukkan eskalasi dan kecanggihan baru dalam metode TA453.”

Pada tingkat tinggi, rantai serangan melibatkan aktor ancaman yang menyamar sebagai sarjana Inggris kepada sekelompok korban yang sangat selektif dalam upaya untuk menarik target agar mengklik tautan pendaftaran ke konferensi online yang dirancang untuk menangkap berbagai kredensial dari Google , Microsoft, Facebook, dan Yahoo.

Untuk memberikan suasana legitimasi, infrastruktur phishing kredensial di-host di situs web asli tetapi dikompromikan milik Radio SOAS Universitas London, yang menggunakan halaman pengambilan kredensial yang dipersonalisasi yang disamarkan sebagai tautan pendaftaran kemudian dikirim ke penerima yang tidak curiga.

Setidaknya dalam satu contoh, TA453 dikatakan telah mengirim email pengumpulan kredensial ke target ke akun email pribadi mereka. “TA453 memperkuat kredibilitas percobaan pengambilan kredensial dengan memanfaatkan persona yang menyamar sebagai afiliasi sah SOAS untuk mengirimkan tautan berbahaya,” kata para peneliti.

Beberapa sarjana SOAS yang menyamar termasuk Dr Hanns Bjoern Kendel, seorang profesor studi diplomatik dan hubungan internasional, dan Tolga Sinmazdemir, dosen senior metodologi politik.

Menariknya, TA453 juga bersikeras bahwa target masuk untuk mendaftar webinar ketika grup sedang online, meningkatkan kemungkinan bahwa penyerang “berencana untuk segera memvalidasi kredensial yang diambil secara manual.” Serangan tersebut diyakini telah dimulai sejak Januari 2021, sebelum kelompok tersebut secara halus mengubah taktik mereka dalam umpan phishing email berikutnya.

Ini bukan pertama kalinya aktor ancaman meluncurkan serangan phishing kredensial. Awal Maret ini, Proofpoint merinci “Darah yang buruk” kampanye yang menargetkan profesional medis senior yang berspesialisasi dalam penelitian genetik, neurologi, dan onkologi di Israel dan AS

“TA453 secara ilegal memperoleh akses ke situs web milik lembaga akademik kelas dunia untuk memanfaatkan infrastruktur yang disusupi untuk memanen kredensial target yang mereka maksudkan,” kata para peneliti. “Penggunaan infrastruktur yang sah, tetapi dikompromikan, menunjukkan peningkatan kecanggihan TA453 dan hampir pasti akan tercermin dalam kampanye mendatang. TA453 terus melakukan iterasi, inovasi, dan pengumpulan untuk mendukung prioritas pengumpulan IRGC.”

'+n+'...
'+a+"...
"}s+="",document.getElementById("result").innerHTML=s}}),t=!0)})}); //]]>

Pos terkait