L’Iran lancia un attacco di spear-phishing contro obiettivi israeliani
I ricercatori di Check Point Research hanno individuato una campagna di spear-phishing a opera di hacker iraniani contro giornalisti, ricercatori e professori universitari israeliani.
Secondo i ricercatori di Check Point, dietro l’attacco ci sarebbe Educated Manticore, un gruppo APT associato al Corpo delle guardie della rivoluzione islamica. Nel corso degli anni il gruppo ha eseguito numerose campagne di spear-phishing contro dipendenti e figure centrali dei settori governativo, militare, della ricerca e dei media.
Gli attacchi sono cominciati a metà giugno, quando alcuni ricercatori di università israeliane hanno ricevuto alcune email e messaggi WhatsApp da finti dipendenti di compagnie di cybersicurezza. Nelle comunicazioni, i mittenti chiedevano di organizzare un incontro tra le parti per discutere di strategie di sicurezza per proteggere organizzazioni di settori critici, facendo leva sulle tensioni tra Iran e Israele.
I messaggi avevano un tono piuttosto formale, erano ben strutturati e privi di errori, indicazioni del fatto che probabilmente gli attaccanti hanno usato l’intelligenza artificiale per scriverli.
Le comunicazioni iniziali non contenevano link, ma servivano solo per ottenere la fiducia della vittima. Dopo qualche interazione, gli attaccanti chiedevano l’indirizzo email dell’utente e inviano in seguito un link per collegarsi a una riunione. L’indirizzo email veniva usato per precompilare il form di login su cui atterrava la vittima, per rendere il flusso più credibile.
Il gruppo a questo punto era in grado di ottenere le credenziali utente e i codici per l’autenticazione a due fattori, usati in seguito per eseguire attacchi 2FA-relay. La pagina di phishing include inoltre un keylogger per catturare ogni tasto premuto dall’utente, anche se non effettua il login al finto servizio.
Pixabay
In alcuni casi il link condiviso dal gruppo rimandava a falsi meet Google. Cliccando su un qualsiasi punto del sito, l’utente navigava alla pagina di login dove gli veniva richiesto di inserire le credenziali per proseguire.
“Da gennaio in poi, il gruppo ha registrato molti domini che sono stati utilizzati per operazioni di spear-phishing, sia per memorizzare kit di phishing che usati come backend. L’infrastruttura sottostante si basava su oltre 130 domini unici (insieme a numerosi sottodomini), che si risolvevano in una dozzina di indirizzi IP distinti” ha spiegato il team di Check Point Research.
I ricercatori sottolineano che Educated Manticore è attualmente una seria minaccia: nonostante l’attenzione del mondo della cybersecurity, il gruppo riesce a operare senza essere individuato subito, in maniera veloce e precisa. “Data la natura vulnerabile dei loro obiettivi – spesso operanti in ambienti sensibili o in contatto con colleghi con status simile all’estero – riteniamo che le tattiche di Educated Manticore continueranno a concentrarsi sul furto di identità e credenziali legate agli interessi del regime” hanno concluso i ricercatori.
Altro in questa categoria