El Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido emitió una advertencia sobre los continuos ataques cibernéticos perpetrados por grupos de piratas informáticos rusos e iraníes.
Su informe dice que SEABORGIUM (AKA: Callisto Group/TA446/COLDRIVER/TAG-53) y TA453 (AKA: APT42/Charming Kitten/Yellow Garuda/ITG18) están utilizando técnicas de phishing dirigido a instituciones e individuos con el objetivo de recopilar información. .
Aunque los dos grupos no parecen estar en connivencia, están atacando por separado a los mismos tipos de organizaciones, que el año pasado incluyeron organismos gubernamentales, ONG y sectores de la defensa y la educación, así como individuos como políticos, periodistas y activistas. .
Jugando el juego largo
Spear-phishing es una técnica de phishing más refinada, mediante la cual el actor de la amenaza pretende tener información que es de particular interés para su víctima. En el caso de SEABORGIUM y TA453, lo comprueban investigando recursos disponibles gratuitamente, como perfiles de redes sociales y plataformas de redes profesionales, para conocer su objetivo y las identidades de las personas que conocen.
Ambos grupos incluso han ido tan lejos como para crear ellos mismos perfiles falsos en las redes sociales, para hacerse pasar por los contactos conocidos de su objetivo, así como por expertos en su campo y periodistas, todo en un esfuerzo por atraer a sus presas.
Suele haber un contacto inofensivo al principio, ya que SEABORGIUM y TA453 buscan establecer una relación con su objetivo para ganarse su confianza. El NCSC señala que esto puede durar un período prolongado.
Una vez que lo hayan hecho, generalmente desplegarán un enlace malicioso, ya sea en un correo electrónico o incrustado en un documento compartido en plataformas como Microsoft One Drive o Google Drive.
El NCSC informa que «en un caso, [TA453] incluso configure una llamada de Zoom con el objetivo para compartir la URL maliciosa en la barra de chat durante la llamada». También se informó el uso de múltiples personas falsas en un solo ataque de phishing, en un esfuerzo por reforzar la fachada.
Seguir estos enlaces generalmente llevará a la víctima a una página de inicio de sesión falsa controlada por los atacantes, y una vez que ingresan sus credenciales, se las roban. Con estos, los piratas informáticos inician sesión en las cuentas de correo electrónico de sus víctimas para robar correos electrónicos, archivos adjuntos y también reenvían correos electrónicos entrantes a sus propias cuentas para espiarlos continuamente.
Además, luego usan los contactos guardados en la cuenta de correo electrónico comprometida para encontrar aún más víctimas en los ataques posteriores y comenzar el proceso nuevamente.
Tanto SEABORGIUM como TA453 usan cuentas de proveedores de correo electrónico comunes, como Outlook y Gmail, para crear identidades falsas cuando se acercan por primera vez a su objetivo. También han creado dominios falsos para organizaciones aparentemente legítimas. Aquellos que actualmente se sabe que están vinculados a SEABORGIUM se han publicado en una lista cortesía del Microsoft Threat Intelligence Center (MSTIC) (se abre en una pestaña nueva).
La firma de seguridad cibernética Proofpoint ha estado detrás del grupo iraní TA453 desde 2020, haciéndose eco en gran medida de los mismos hallazgos que el NCSC: «[TA453] las campañas pueden comenzar con semanas de conversaciones benignas de cuentas creadas por actores antes del intento de explotación».
También señalaron que otros objetivos del grupo han incluido investigadores médicos, un ingeniero aeroespacial, un agente inmobiliario y agencias de viajes. Además, la firma emitió la siguiente advertencia:
«Los investigadores involucrados en seguridad internacional, particularmente aquellos que se especializan en estudios de Medio Oriente o seguridad nuclear, deben mantener un mayor sentido de conciencia cuando reciben correos electrónicos no solicitados. Por ejemplo, los expertos a los que se acercan los periodistas deben consultar el sitio web de la publicación para ver si la dirección de correo electrónico pertenece a un reportero legítimo».