İran’la uyumlu bir bilgisayar korsanlığı grubu, hedefleri gerçekçi bir e-posta görüşmesi olarak düşünmeleri için cezbetmek için birden fazla kişi ve e-posta hesabı kullandıkları yeni, ayrıntılı bir kimlik avı tekniği kullanıyor.
Saldırganlar, kontrolleri altındaki başka bir e-posta adresini CC’ye alırken hedeflere bir e-posta gönderir ve ardından bu e-postadan yanıt vererek sahte bir sohbete girer.
Proofpoint’te bunu ilk kez fark eden araştırmacılar tarafından ‘çok kişilik kimliğe bürünme’ (MPI) olarak adlandırılan teknik, mantıksal düşünceyi gizlemek ve kimlik avı dizilerine bir güvenilirlik unsuru eklemek için psikolojinin “sosyal kanıt” ilkesinden yararlanır.
TA453, daha önce görülen IRGC (İslam Devrim Muhafızları Kolordusu) bünyesinde faaliyet gösterdiğine inanılan bir İran tehdit grubudur. gazetecileri taklit etmek Ortadoğu’daki akademisyenleri ve politika uzmanlarını hedeflemek.
Birden çok kişi kimliğine bürünme
TA453’ün yeni taktiği, kimlik avı saldırılarını gerçekleştirmek için her bir hedefin sahte kişiler tarafından yapılan ayrıntılı gerçekçi bir sohbette tuzağa düşürülmesi gerektiğinden, kendi taraflarında çok daha fazla çaba gerektirir veya çorap kuklaları.
Bununla birlikte, gerçekçi görünen bir e-posta alışverişi oluşturduğu için ekstra çaba karşılığını verir ve bu da konuşmanın meşru görünmesini sağlar.
Paylaşılan bir örnek Proofpoint’in raporu Haziran 2022’ye kadar, gönderenin FRPI’de Araştırma Direktörü kılığına girmesi ve hedefe gönderilen e-postanın PEW Araştırma Merkezi’nde Global Attitudes Research Direktörü olarak görev yapması.
Ertesi gün, kimliğine bürünen PEW direktörü, FRPI direktörü tarafından gönderilen soruları yanıtlayarak, hedefin katılması için baştan çıkarıcı olacak, dürüst bir sohbete dair yanlış bir algı yarattı.
Proofpoint tarafından görülen ve genom araştırmalarında uzmanlaşmış bilim adamlarını içeren başka bir vakada, CCed persona, kötü niyetli makrolarla bağlanmış bir DOCX belgesinin indirilmesine yol açan bir OneDrive bağlantısıyla yanıt verdi.
TA453 tarafından nükleer silahların kontrolü konusunda uzmanlaşmış iki akademisyene karşı başlatılan üçüncü bir MPI kimlik avı saldırısında, tehdit aktörleri daha da karmaşık bir saldırı için üç kişiyi CC’ye aldı.
Her durumda, tehdit aktörleri, kimliğine bürünülen kurumların adresleri yerine hem gönderenler hem de CC’deki kişiler için kişisel e-posta adreslerini (Gmail, Outlook, AOL, Hotmail) kullandı; bu, şüpheli etkinliğin açık bir işaretidir.
Kötü niyetli yük
TA453’ün son kampanyasında OneDrive bağlantıları aracılığıyla indirilmek üzere kandırılan belgeler, şablon enjeksiyonu gerçekleştiren parola korumalı dosyalardır.
“Proofpoint tarafından Korg olarak adlandırılan indirilen şablonun üç makrosu var: Module1.bas, Module2.bas ve ThisDocument.cls” raporu ayrıntılarıyla anlatıyor.
“Makrolar, kullanıcı adı, çalışan işlemlerin listesi ve kullanıcının genel IP’si gibi bilgileri my-ip.io’dan toplar ve ardından bu bilgileri Telegram API’sini kullanarak dışa aktarır.”
Araştırmacılar, keşif bilgisi işaret etme aşamasını geçemediler, ancak uzak tehdit aktörlerine ana bilgisayarlarda kod yürütme yetenekleri vermek için sonraki adımlarda ek istismarın meydana geldiğini varsaydılar.