I ricercatori di Proofpoint hanno recentemente osservato un cambiamento nelle tattiche utilizzate da parte di TA450, un gruppo di criminali informatici collegato al governo iraniano. In una delle sue recenti campagne, il gruppo ha tentato di distribuire URL dannosi direttamente negli allegati PDF, senza includere link nel corpo delle email.
Chi è TA450?
TA450 è un attore di minacce allineato con il governo dell’Iran, ed è noto anche con i nomi di MuddyWater, Mango Sandstorm e Static Kitten. Le campagne di phishing intraprese da TA450 hanno come obiettivo la destabilizzazione delle multinazionali manifatturiere, tecnologiche e di sicurezza informatica con sede in Israele. L’attività del gruppo di cyber criminali è iniziata a ottobre 2023, in coincidenza con l’inizio della guerra tra Israele e Hamas.
Durante la campagna di phishing, iniziata il 7 marzo e proseguita fino alla settimana dell’11 marzo 2024, il gruppo criminale ha inviato email contenenti allegati PDF infettati da link malevoli. Per compiere i loro attacchi, la cyber gang ha utilizzato la tattica dello spear phishing. Si tratta di uno specifico metodo di phishing, che coinvolge l’invio di messaggi di fraudolenti opportunamente fabbricati a utenti che ricoprono cariche amministrative all’interno dell’azienda. L’obiettivo dello spear phishing è quello di ottenere dati sensibili e credenziali che permettono l’accesso ai sistemi critici di un’azienda.
In passato, TA450 si era affidato all’utilizzo link pericolosi inclusi direttamente nel corpo dei messaggi email. Solo recentemente il gruppo criminale ha iniziato a includere link malevoli all’interno di documenti PDF. I collegamenti contenuti negli allegati conducevano a una serie di siti di condivisione di file, tra cui Egnyte, Onehub, Sync e TeraBox, dai quali era possibile scaricare file contenenti malware. Le email utilizzavano anche un account mittente .IL probabilmente compromesso, il che è coerente con la recente attività di questo attore.
La tattica utilizzata da TA450
Vediamo nel dettaglio come funzionano gli attacchi di phishing attuati dal gruppo criminale iraniano.
Quando l’obiettivo scelto da TA450, di solito un dirigente aziendale, apre l’allegato, spesso mascherato come busta paga o documento importante, e clicca sul link in esso contenuto, viene scaricato un archivio ZIP contenente un installer MSI. Questo tipo di installer funziona in maniera simile a un file EXE, e permette, su computer con sistema opeativo Windows, di installare automaticamente un’applicazione. Il MSI infetto installava quindi un software di amministrazione remota, AteraAgent, che permette ai cyber criminali di accedere al computer della vittima in qualsiasi momento.
Includere link malevoli in un allegato invece che nel corpo dell’email risulta essere molto più efficace, in quanto i sistemi di individuazione dei link sospetti non controllano il contenuto degli allegati,ma solo il corpo delle email. L’ultima linea di difesa sono gli antivirus, che sono in grado di bloccare eseguibili contenenti malware. Tuttavia, dato che il programma utilizzato da TA450 non è un virus, ma un programma legittimo utilizzato per la gestione da remoto, non viene individuato neppure dagli antivirus. Gli unici modi per proteggersi sono, quindi, non cliccare su link contenuti negli allegati e bloccare, tramite firewall, i siti di condivisione sopra citati.
Il gruppo criminale continua a evolvere le sue tattiche
I ricercatori di Proofpoint attribuiscono questa campagna a TA450 sulla base di tattiche, tecniche e procedure note, del targeting della campagna e dell’analisi del malware. Già nel gennaio 2022, il Cyber Command degli Stati Uniti aveva attribuito questo gruppo al Ministero dell’Intelligence e della Sicurezza dell’Iran.
Questo incidente segna una svolta nelle tattiche utilizzate da TA450. Nonostante i metodi utilizzati non siano una novità, è la prima volta che i ricercatori di Proofpoint hanno osservato TA450 tentare di distribuire un URL pericoloso in un allegato PDF invece di collegare direttamente il file in una email. Inoltre, è la prima volta che i ricercatori hanno osservato il gruppo utilizzare un account email opportunamente fabbricato. Infatti, in questa campagna ha utilizzato un account salary[@]<compromisedorg>co[.]il, che è in linea con l’oggetto a tema retributivo.
Rimani aggiornato seguendoci su Google News!
Da non perdere questa settimana su Techbusiness
🔝LinkedIn pubblica il report Top Companies Italia 2024: al primo posto Intesa Sanpaolo
🍪Il futuro della privacy online: Google dice addio ai cookie di terze parti
🪪Parliamo di SASE: intervista a Aldo Di Mattia di Fortinet
💡AMD e i data center energeticamente sostenibili. Intervista ad Alexander Troshin
✒️ La nostra imperdibile newsletter Caffellattech! Iscriviti qui
🎧 Ma lo sai che anche Fjona ha la sua newsletter?! Iscriviti a SuggeriPODCAST!
📺 Trovi Fjona anche su RAI Play con Touch - Impronta digitale!
💌 Risolviamo i tuoi problemi di cuore con B1NARY
🎧 Ascolta il nostro imperdibile podcast Le vie del Tech
💸E trovi un po' di offerte interessanti su Telegram!
