Iran Spear-Phishers kapern E-Mail-Konversationen in neuer Kampagne

  • Sicherheitsforscher haben eine groß angelegte neue, staatlich unterstützte Spear-Phishing-Operation aufgedeckt, die auf mehrere hochrangige israelische und US-amerikanische Beamte abzielt.

    Check Point hat die Kampagne auf die iranische Phosphorus APT-Gruppe zurückgeführt.

    Sie geht mindestens bis Dezember 2021 zurück und hat die ehemalige israelische Außenministerin und stellvertretende Ministerpräsidentin Tzipi Livni, einen ehemaligen Generalmajor der israelischen Verteidigungsstreitkräfte (IDF) und einen ehemaligen US-Botschafter in Israel zum Ziel.

    Weitere Ziele waren dem Bericht zufolge ein leitender Angestellter der israelischen Verteidigungsindustrie und der Vorsitzende einer der führenden israelischen Denkfabriken für Sicherheitsfragen.

    Die Methodik ist recht einfach. Der Angreifer kompromittiert den Posteingang eines häufigen Kontakts der Zielperson und kapert dann eine bestehende Unterhaltung zwischen den beiden. Anschließend öffnet er eine neue gefälschte E-Mail-Adresse, die sich als derselbe Kontakt ausgibt und deren Format dem von joe.doe.corp ähnelt.[@]gmail.com.

    Der Angreifer versucht dann, die Konversation über diese neue E-Mail-Adresse fortzusetzen und tauscht mehrere Nachrichten aus. Check Point fügte hinzu, dass manchmal echte Dokumente als Teil des Austauschs verwendet werden, um dem Betrug Legitimität und Relevanz zu verleihen.

    In einem Fall wurde Livni von dem „pensionierten IDF-Generalmajor“ über seine echte E-Mail-Adresse kontaktiert und wiederholt aufgefordert, auf einen Link in der Nachricht zu klicken und ihr Passwort zu verwenden, um die verlinkte Datei zu öffnen. Als sie sich später mit ihm traf, bestätigte er, die E-Mail nie verschickt zu haben.

    „Wir haben eine iranische Phishing-Infrastruktur aufgedeckt, die es auf israelische und US-amerikanische Führungskräfte des öffentlichen Sektors abgesehen hat, mit dem Ziel, ihre persönlichen Daten zu stehlen, Pässe zu scannen und den Zugang zu ihren E-Mail-Konten zu stehlen“, erklärt Sergey Shykevich, Leiter der Bedrohungsanalysegruppe bei Check Point.

    „Der raffinierteste Teil der Operation ist das Social Engineering. Die Angreifer verwenden echte gekaperte E-Mail-Ketten, die sich als bekannte Kontakte der Zielpersonen ausgeben, und spezifische Köder für jedes Ziel. Bei der Operation wird eine sehr gezielte Phishing-Kette eingesetzt, die speziell für jedes Ziel entwickelt wurde. Darüber hinaus ist der aggressive E-Mail-Verkehr der staatlichen Angreifer mit den Zielpersonen bei staatlichen Cyberangriffen selten zu beobachten.“

    Im Jahr 2019 behauptete Microsoft, bei seinen Bemühungen, die Phosphorous-Gruppe – auch bekannt als APT35 und Charming Kitten – zu stören, einen „bedeutenden Erfolg“ erzielt zu haben, nachdem ein Gerichtsbeschluss es dem Unternehmen ermöglichte, die Kontrolle über 99 von der Gruppe verwendete Phishing-Domänen zu übernehmen.

    Die jüngsten Enthüllungen zeigen, wie schwierig es ist, einen entschlossenen, vom Staat finanzierten Gegner zu stoppen.

    Einige Teile dieses Artikels stammen aus:
    www.infosecurity-magazine.com