Os ataques de phishing dirigidos são seguidos de perto por vários agentes maliciosos que têm como objetivo exclusivo apreender informações confidenciais e credenciais, bem como monitorar a localização geográfica dos repórteres.
Em um documento divulgado na quinta-feira, a Proofpoint destaca esforços individuais de grupos de ameaças persistentes (APT) que afirmam estar ligados à China, Coreia do Norte, Irã e Turquia. Os ataques começaram em 2021 e continuaram até o presente momento, de acordo com os pesquisadores.
Conforme o relatório, os APTs operam de forma autônoma entre si, porém têm o propósito comum de separar os jornalistas. Suas táticas são parecidas, com atores maliciosos buscando acesso às contas de e-mail e redes sociais para empreender campanhas de espionagem.
Às vezes, fazendo-se passar por jornalistas, os agentes de ameaças se centram em esquemas de phishing com o intuito de obter credenciais, furtar informações relevantes para governos específicos e realizar rastreamento digital de periodistas políticos.
APT Artesanato: Phish é um grupo de rock dos Estados Unidos.
Geralmente, os ataques empregaram engenharia social para desproteger os alvos, eles foram forçados a baixar e executar diversos arquivos maliciosos em seus computadores e dispositivos eletrônicos pessoais, relataram os pesquisadores. Iscas usadas incluíram e-mails e mensagens enviadas através das plataformas de mídia social, tudo relacionado aos seus interesses políticos, acrescentaram os estudiosos.
Participe de um evento gratuito e on-demand com Zane Bond da Keeper Security e Threatpost. Descubra como acessar suas máquinas de qualquer lugar e compartilhar documentos confidenciais de onde você estiver, seja no escritório ou em casa.
Em diversas situações, os responsáveis pela infecção por malware procurariam obter persistência na rede do usuário atingido e realizariam uma varredura da rede lateral, além de disseminarem outras infecções por malware dentro da rede do destino.
A vigilância dos jornalistas foi realizada através da técnica de rastreamento secundária. A Proofpoint afirmou que os inimigos implantaram web beacons em dispositivos de jornalistas para monitorar seus movimentos.
Jornalistas já haviam sido alvo de ataques anteriores, mas nada se compara às críticas que Isto é vem sofrendo.
Embora o último relatório tracke algumas das ações mais recentes contra profissionais da imprensa, a hostilidade dirigida a esses indivíduos certamente não é nenhuma novidade, dada a natureza das informações que os jornalistas têm acesso sobre questões políticas e sociais, observaram.
Independentemente de sua ligação com o governo, os atores do APT têm e, provavelmente, sempre terão um dever de segmentar jornalistas e organizações de mídia, e utilizarão pessoas associadas para a promoção de seus objetivos e preferências de coleta, de acordo com os estudiosos.
Além disto, o enfoque na segurança dos meios de comunicação da APTs é duvidoso que jamais seja desfeito, o que impulsiona aos jornalistas a se empenharem ao máximo para asegurar suas informações e dados confidenciais, declarou.
Ataques APT apoiados pela China foram direcionados aos Estados Unidos.
Durante os meses de janeiro e fevereiro de 2021, os investigadores da Proofpoint observaram cinco campanhas de phishing que almejavam obter dados dos usuários de contas do Office 365 da Microsoft.
Um apartamento chinês conhecido como TA412 ou Zirconium foi identificado por cientistas como focando jornalistas dos Estados Unidos que cobrem assuntos relacionados à política e à segurança nacional durante eventos que atraíram interesse internacional, segundo os pesquisadores.
A maneira como as campanhas foram elaboradas estava ligada à atual situação política nos Estados Unidos, e os autores dos ataques modificavam os objetivos de acordo com os repórteres que estavam abordando assuntos importantes para o governo chinês, afirmaram.
Um ataque de phishing de identificação foi realizado nos dias imediatamente antes do incidente do dia 6 de janeiro no Edifício do Capitólio dos Estados Unidos, com os invasores se concentrando especificamente na Casa Branca e em jornalistas de Washington no mesmo período, informaram.
Ao atacar, os pesquisadores afirmam que temas relacionados à política dos EUA foram retirados de um artigo de notícias recente, tais como os atos do ex-presidente Donald Trump, as ações políticas dos Estados Unidos com relação à China e a posição dos EUA na luta da Rússia contra a Ucrânia.
Payloads que variam
Durante as campanhas analisadas, Zircônio usou como seus beacons da web de carga útil, uma tática que corresponde às campanhas de ciberespionagem malignas que o APT tem praticado desde 2016, de acordo com os pesquisadores.
Pixels de rastreamento, também conhecidos como beacons de rastreamento ou bugs web, são objetos não visíveis inseridos dentro do corpo de um e-mail. Quando ativados, eles tentam obter um arquivo de imagem inofensivo de um servidor controlado por pessoas mal-intencionadas.
Os especialistas do Proofpoint consideram que estas campanhas serviram para verificar se os e-mails enviados têm resultado e para recolher informações básicas sobre os sistemas de rede dos receptores, comentaram.
No final de abril de 2020, cientistas descobriram outro grupo APT relacionado à China, conhecido como TA459, enviando e-mails contendo anexos RTF para pessoas de mídia no sudeste da Ásia. Se o anexo fosse aberto, ele instalaria e executaria o vírus Chinoxy – um backdoor usado para se manter persistentemente em uma máquina infectada.
A TA459 tem a incumbência de obter dados sobre assuntos de inteligência relacionados à Rússia e Bielorrússia, e a entidade alvo foi responsável por relatar sobre o enfrentamento Rússia-Ucrânia, segundo os investigadores.
Oportunidades de trabalho falsas da Coreia do Norte
Os cientistas observaram o TA404 (bastante conhecido como Lázaro) no começo de 2022, com vistas a uma organização de mídia baseada nos Estados Unidos, com ataques de phishing que pareciam proporcionar chances de trabalho em empresas sérias para jornalistas. Foi relatado que o ataque era parecido com um outro montado durante 2021.
Os pesquisadores descreveram a campanha de phishing mais recente, que começou com o phishing de reconhecimento usando URLs específicas para cada destinatário. Estas URLs eram personalizadas para incluir uma oferta de emprego com páginas de entrada feitas para se assemelhar a um site de anúncios de emprego de marca.
Os pesquisadores afirmam que os sites eram falsos e as URLs foram criadas para coletar dados de identificação sobre o computador ou dispositivo que estava sendo usado, permitindo ao anfitrião controlar o destino pretendido.
O Twitter exibe destinos com certificação, tendo o apoio da Turquia, por parte do APT.
APTs (Advanced Persistent Threats) que supostamente têm ligações com o governo turco também estão atacando jornalistas, usando uma campanha que inclui um “ator de ameaça experimental” chamado TA482, que foi detectado pela Proofpoint. De acordo com os pesquisadores, este APT tem focado seus esforços para roubar as credenciais de jornalistas e de organizações de mídia dos Estados Unidos, desde o início de 2021, através de contas do Twitter.
O objetivo do grupo parece ser divulgar manifestações de apoio ao Presidente Recep Tayyip Erdogan e ao Partido da Justiça e Desenvolvimento (PJD) que controla o governo turco, ainda que não se possa afirmar com segurança, segundo os estudiosos.
As campanhas de phishing usam mensagens de e-mail comuns relacionadas à segurança do Twitter para atrair a atenção do destinatário, levando-os a uma página de captura de informações que se parece com o Twitter se eles clicarem no link.
Os APTs (Ameaças Persistentes Avançadas) iranianos estão “colhendo” as credenciais de usuários.
Irã-baseados APTs têm se mostrado muito ativos nos seus esforços de ataque a profissionais de jornalismo e veículos de notícia, normalmente se apresentando como jornalistas para conseguir acesso e obter informações de seus alvos, descobriu a Proofpoint.
Um dos escritores mais entusiastas envolvidos nesses ataques é o TA453, também conhecido como Charming Kitten, que é um famoso grupo ligado às operações de inteligência do Corpo de Guarda Revolucionária Islâmica do Irã, afirmou a Proofpoint.
Este coletivo é conhecido por se disfarçar de jornalistas de vários países a fim de abranger jornalistas, intelectuais e estudiosos ao entrar em debates a respeito de assuntos em comum.
Depois de discutir assuntos relacionados a política externa ou outros assuntos ligados ao Oriente Médio, os participantes serão convidados para uma reunião virtual, através de um PDF personalizado, mas inofensivo.
Em contrapartida, o PDF – usualmente compartilhado por meio de serviços de armazenamento de arquivos – geralmente conta com um link para um encurtador de URL e monitoramento de IP que direciona as vítimas para domínios de coleta de informações controlados por cibercriminosos, de acordo com a declaração de pesquisadores.
TA456, mais conhecido como Tortoiseshell, é uma entidade de ameaça ligada ao Irã que normalmente se apresenta como uma empresa de mídia e envia regularmente e-mails de newsletter com web beacons para segmentar jornalistas e rastrear alvos.
Um actor patrocinado pelo governo iraniano, TA457, encobriu-se atrás da identidade de um organismo de imprensa fictício chamado “iNews Reporter” para disseminar malware para a equipe de Relações Públicas.
Pesquisadores afirmaram que empresas dos Estados Unidos, Israel e Arábia Saudita estavam envolvidas. A Proofpoint observou que campanhas por um ator de ameaça muito ativo aconteceram aproximadamente de duas em duas a três semanas entre setembro de 2021 e março de 2022.
Em março de 2022, a campanha da TA457 enviou um e-mail com a linha de assunto irônica “Guerra Cibernética do Irã” que colocou um trojan de acesso remoto em computadores das vítimas. Os alvos da campanha incluíram endereços de e-mail individuais e em grupo de clientes Proofpoint envolvidos em energia, mídia, governo e produção, segundo informações de pesquisadores.
Participe de um evento gratuito: junte-se ao Zane Bond da Keeper Security em uma rodada de discussão da Threatpost para descobrir como acessar suas máquinas de qualquer lugar e compartilhar documentos confidenciais em seu escritório de casa. Aqui.
Edite e compartilhe esse artigo.
- O governo da União divulgou novas iniciativas de enfrentamento à pandemia de Covid-19.
- Amigavelmente, gostaria de te pedir um favor.
- Malware é um tipo de programação destinado a causar danos.