Iranische Spionage

Seit Ende 2020 beobachten Proofpoint-Forscher Abweichungen bei den Phishing-Aktivitäten von Threat Actor (Bedrohungsakteur) TA453 (die sich mit Gruppen überschneidet, die öffentlich als „Charming Kitten“, „PHOSPHORUS“ und „APT42“ bekannt sind), bei denen die Gruppe neue Methoden einsetzt und andere Ziele als in der Vergangenheit ins Visier nimmt. E-Mail-Kampagnen von TA453 hatten sich zuvor fast immer auf Akademiker, Forscher, Diplomaten, Dissidenten, Journalisten und Menschenrechtsaktivisten gerichtet und Web-Beacons in den Nachrichtentexten verwendet, bevor sie schließlich versuchten, die Anmeldedaten der Zielperson abzugreifen. Solche Kampagnen können mit wochenlangen harmlosen Konversationen über von den Akteuren erstellte Konten beginnen, bevor sie mit den eigentlichen Angriff starten.

Die neuartigen Kampagnen von TA453 adressieren u. a. Forscher im medizinischen Bereich, einen Luft- und Raumfahrtingenieur, einen Immobilienmakler und Reisebüros. Sie nutzen für TA453 neue Phishing-Techniken, darunter kompromittierte Konten, Malware und Köder mit kontroversen Themen. Es ist wahrscheinlich, dass die neuen Vorgehensweisen die veränderten geheimdienstlichen Anforderungen der Revolutionsgarde reflektieren. Die neuartigen Aktivitäten bietet Experten auch ein besseres Verständnis des Mandats der Revolutionsgarde und einen Einblick in die mögliche Unterstützung von TA453 für verdeckte und „kinetische“ Operationen.

TA453 setzt als Köder auf die fiktive Person Samantha Wolf. Proofpoint-Forscher identifizierten die Persona Samantha Wolf erstmals, als die zugehörige E-Mail samantha.wolf0077[@]gmail.com im Köderinhalt eines bösartigen Dokuments enthalten war (SHA256: a8c062846411d3fb8ceb0b2fe34389c4910a4887cd39552d30e6a03a02f4cc78). Dieses Dokument, das bei VirusTotal hochgeladen wurde, verwendet Remote Template Injection, um mehrere .dotm-Dateien von office-updates[.]info herunterzuladen, und wird TA453 zugeschrieben. Die Angriffskette für dieses Bündel von Aktivitäten führte typischerweise zu einer PowerShell-Backdoor, die Proofpoint GhostEcho nennt (öffentlich als CharmPower verfolgt). Wie von PwC beschrieben, bleibt die heruntergeladene Vorlage bestehen, indem sie die vorherige Standardvorlage des Benutzers in Microsoft Word ersetzt.

Im Mai 2022 berichteten israelische Medien, dass der israelische Geheimdienst Shin Bet Phishing-Aktivitäten iranischer Geheimdienste identifiziert hat, die darauf abzielen, Zielpersonen anzulocken, um sie zu entführen. Basierend auf den bereitgestellten Indikatoren korrelierte Proofpoint diese Aktivität mit TA453-Kampagnen vom Dezember 2021, in denen TA453 zugeschriebene Kampagnen eine gefälschte E-Mail-Adresse eines angesehenen Schweizer Akademikers aus der Domäne der ETH Zürich (css-ethz[.]ch) verwendeten, um einem Forscher eine „Einladung zum strategischen Dialog in Zürich im Januar 2022“ zu geben.

Anfang Mai 2022 identifizierte Proofpoint eine beunruhigende, TA453 zugeschriebene Kampagne, die auf eine einzelne Person abzielte. In dieser Kampagne nutzte TA453 mehrere kompromittierte E-Mail-Konten, darunter das eines hochrangigen Militärs, um einen Link an die Zielperson – ein ehemaliges Mitglied des israelischen Militärs – zu senden. Die Verwendung mehrerer kompromittierter E-Mail-Konten für ein einziges Ziel ist für TA453 ungewöhnlich. Obwohl jede der beobachteten URLs für jedes kompromittierte E-Mail-Konto einzigartig war, war jede mit der Domain gettogether[.]quest verlinkt und zeigte auf dieselbe Drohbotschaft in Hebräisch.

Erwartungsgemäßes Verhalten

Proofpoint verfolgt etwa sechs Untergruppen von TA453, die sich in erster Linie nach Zielgruppen, Techniken und Infrastruktur unterscheiden. Unabhängig von der Untergruppe richtet sich TA453 in der Regel an Akademiker, politische Entscheidungsträger, Diplomaten, Journalisten, Menschenrechtsaktivisten, Dissidenten und Forscher mit Fachwissen über den Nahen Osten. Die von TA453 registrierten E-Mail-Konten stimmen in der Regel thematisch mit ihren Zielen überein, und die Cyberkriminellen verwenden in ihren E-Mail-Kampagnen bevorzugt Web-Beacons. TA453 verlässt sich in hohem Maße auf harmlose Konversationen, um Kontakt mit den Zielpersonen aufzunehmen — Proofpoint hat 2022 mehr als 60 solcher Kampagnen beobachtet. TA453 sendet fast immer Links zum Sammeln von Anmeldeinformationen mit der Absicht, Zugang zum Posteingang der Zielperson zu erhalten und E-Mail-Inhalte auszuspionieren. Einige Untergruppen unterhalten sich wochenlang, bevor sie die bösartigen Links versenden, während andere den bösartigen Link sofort mit der ersten E-Mail versenden.

Die Experten von Proofpoint haben eine Reihe von Neuheiten in den Vorgehensweisen von TA453 beobachtet, die bisher, wenn überhaupt, nur wenig öffentliche Aufmerksamkeit erhalten haben:

Kompromittierte Konten

Zeitweise nutzte eine Untergruppe von TA453 kompromittierte Konten, um Einzelpersonen anzugreifen, anstatt von den Akteuren kontrollierte Konten zu verwenden.

Diese Gruppe nutzte URL-Verkürzer wie bnt2[.]live und nco2[.]live, die auf typische TA453-Seiten zum Sammeln von Anmeldeinformationen umleiteten.

Beispielsweise wurde 2021, etwa fünf Tage nachdem sich ein US-Regierungsvertreter öffentlich zu den Verhandlungen zum Nuklearpakt mit dem Irangeäußert hatte, der Pressesprecher des Beamten über ein kompromittiertes E-Mail-Konto eines lokalen Reporters angegriffen.

Malware

Im Herbst 2021 wurde GhostEcho (CharmPower), eine PowerShell-Backdoor, an verschiedene diplomatische Vertretungen in Teheran gesendet.

Während des gesamten Herbstes 2021 wurde GhostEcho weiterentwickelt, wie Änderungen an der Verschleierung und an der Kill Chain zeigen, um der Entdeckung zu entgehen.

GhostEcho ist eine relativ milde erste Stufe der Attacke, die dazu dient, auf Spionage ausgerichtete Folgefähigkeiten zu liefern, wie von Checkpoint Research

Aufgrund von Ähnlichkeiten in den Übermittlungstechniken vermutet Proofpoint, dass GhostEcho Ende 2021 auch an Frauenrechtsaktivisten übermittelt wurde.

Köder mit kontroversen Themen

TA453 hat insbesondere eine fiktive Person, Samantha Wolf, für konfrontative Social-Engineering-Köder eingesetzt, die das Gefühl der Unsicherheit und Angst der Zielpersonen ausnutzen sollen, um sie dazu zu bringen, auf die E-Mails des Cyberkriminellen zu reagieren.

Samantha hat diese Köder, die u. a. Autounfälle und allgemeine Beschwerden thematisieren, an US-amerikanische und europäische Politiker und Regierungsstellen, ein Energieunternehmen im Nahen Osten und einen in den USA ansässigen Wissenschaftler geschickt.