Улуттук борбор кибер коопсуздук Улуу Британиянын (NCSC) Орусия менен Ирандан келген хакерлердин киберчабуулдары үзгүлтүксүз болуп жатканын билдирди.
Эксперттик отчетко ылайык, SEABORGIUM (ака Callisto Group/TA446/COLDRIVER/TAG-53) жана TA453 (ака APT42/Charming Kitten/Yellow Garuda/ITG18) хакерлер топтору мекемелерге жана жеке адамдарга чабуул жасоо үчүн максаттуу фишинг ыкмаларын колдонушат. маалымат чогултуу.
Бул эки топ ынтымакта болбосо да, кандайдыр бир жол менен бири-биринен өзүнчө болуп калат кол салуу өткөн жылы мамлекеттик органдарды, өкмөттүк эмес уюмдарды, коргоо жана билим берүү тармагындагы уюмдарды, ошондой эле саясатчылар, журналисттер жана активисттер сыяктуу инсандарды камтыган ошол эле типтеги уюмдар.
Максаттуу фишинг, мындайча айтканда, татаал техника фишинг, чабуулчу белгилүү бир адамды бутага алганда жана алардын курмандыгы үчүн өзгөчө кызыкчылык туудурган маалыматка ээ болуп көрүнгөндө. SEABORGIUM жана TA453 болгон учурда, алар өз максаттары жөнүндө билүү үчүн эркин жеткиликтүү ресурстарды изилдөө менен буга ынанышат.
Эки топ тең социалдык тармактарда фейк профилдерди түзүп, өздөрүн жабырлануучулардын тааныштары же өз тармагынын адистери жана журналисттердей түр көрсөтүшкөн. SEABORGIUM жана TA453 алардын ишенимине ээ болуу үчүн алардын жабырлануучусу менен мамиле курууга аракет кылгандыктан, адегенде зыянсыз байланыш бар. Эксперттер бул узак убакытка созулушу мүмкүн экенин белгилешет. Андан кийин хакерлер зыяндуу шилтемени жөнөтүп, аны электрондук почтага же жалпы документке кыстарышат Microsoft One Drive же Google Drive.
Ортосунда кибер коопсуздук "бир учурда [TA453] чалуу учурунда чатта зыяндуу URL бөлүшүү үчүн Zoom чалуу уюштурган" деп билдирди. Ишенимдүүлүктү жогорулатуу үчүн бир фишингдик чабуулда бир нече жасалма идентификаторлор колдонулганы да кабарланган.
Шилтемелерден кийин, адатта, жабырлануучуну чабуулчулар көзөмөлдөгөн жасалма логин барагына алып барат жана алардын эсептик дайындарын киргизгенден кийин, алар хакерликке кабылышат. Андан кийин хакерлер электрондук почталарды, тиркемелерди уурдоо жана алардын аккаунттарына келген каттарды кайра багыттоо үчүн жабырлануучуларынын электрондук почта кутуларына кире алышат. Мындан тышкары, алар бузулган электрондук почтадагы сакталган байланыштарды колдонушат жана кийинки чабуулдарда жаңы жабырлануучуларды таап, процессти кайра башташат.
Эки топтун хакерлери биринчи жолу максаттуу байланышта болгондо жасалма идентификаторлорду түзүү үчүн жалпы электрондук почта провайдерлеринин аккаунттарын колдонушат. Алар ошондой эле мыйзамдуу көрүнгөн уюмдар үчүн жасалма домендерди түзүшкөн. компаниясынан кибер коопсуздук 2020-жылдан бери Ирандын TA453 тобуна көз салып келе жаткан Proofpoint NCSCтин тыянактарын негизинен кайталайт: "[TA453] кампаниялары хакерлик кылуу аракетинен мурун хакерлер тарабынан түзүлгөн аккаунттар менен бир нече жума достук сүйлөшүүлөрдөн башталышы мүмкүн." Алар ошондой эле топтун башка максаттарына медициналык изилдөөчүлөр, аэрокосмостук инженер, кыймылсыз мүлк агенти жана туристтик агенттиктер киргенин белгилешти.
Мындан тышкары, фирма төмөнкүдөй эскертүү берди: “Эл аралык коопсуздук маселелери боюнча иштеген изилдөөчүлөр, өзгөчө Жакынкы Чыгыш же өзөктүк коопсуздук боюнча изилдөөлөр боюнча адистешкендер, керексиз электрондук каттарды алууда кыраакы болушу керек. Мисалы, журналисттер байланышка чыккан эксперттер басылманын сайтын текшерип, электрондук почтанын дареги мыйзамдуу кабарчыга таандык экенине ынанышы керек».
Ошондой эле кызыктуу: