Des acteurs parrainés par l’État iranien continuent de s’engager dans des campagnes d’ingénierie sociale ciblant des chercheurs en se faisant passer pour un groupe de réflexion américain.
« Notamment, les cibles dans ce cas étaient toutes les femmes qui sont activement impliquées dans les affaires politiques et les droits de l’homme dans la région du Moyen-Orient », a déclaré Secureworks Counter Threat Unit (CTU). a dit dans un rapport partagé avec The Hacker News.
La société de cybersécurité a attribué l’activité à un groupe de piratage qu’elle suit comme Illusion de cobaltet qui est également connu sous les noms APT35, Charming Kitten, ITG18, Phosphorus, TA453 et Yellow Garuda.
Le ciblage d’universitaires, d’activistes, de diplomates, de journalistes, de politiciens et de chercheurs par l’acteur menaçant a été bien documenté au fil des ans.
Le groupe est soupçonné d’opérer au nom du Corps des gardiens de la révolution islamique (CGRI) iranien et a montré une tendance à utiliser de fausses personnalités pour établir des contacts avec des individus qui présentent un intérêt stratégique pour le gouvernement.
« Il est courant que Cobalt Illusion interagisse avec ses cibles plusieurs fois sur différentes plates-formes de messagerie », a déclaré SecureWorks. « Les acteurs de la menace envoient d’abord des liens et des documents bénins pour établir une relation. Ils envoient ensuite un lien ou un document malveillant aux informations d’identification de phishing pour les systèmes auxquels Cobalt Illusion cherche à accéder. »
La principale de ses tactiques consiste à tirer parti de la collecte d’informations d’identification pour prendre le contrôle des boîtes aux lettres des victimes, ainsi qu’à utiliser des outils personnalisés tels que HYPERSCRAPE (alias EmailDownloader) pour voler des données des comptes Gmail, Yahoo ! et Microsoft Outlook en utilisant les mots de passe volés.
Un autre logiciel malveillant sur mesure lié au groupe est un outil Telegram « grabber » basé sur C++ qui facilite la collecte de données à grande échelle à partir des comptes Telegram après avoir obtenu les informations d’identification de la cible.
La dernière activité en date consiste pour l’adversaire à se faire passer pour un employé de la Conseil Atlantiqueun groupe de réflexion basé aux États-Unis, et s’adressant à des chercheurs en affaires politiques et en droits de l’homme sous prétexte de contribuer à un rapport.
Découvrez les dangers cachés des applications SaaS tierces
Êtes-vous conscient des risques associés à l’accès d’applications tierces aux applications SaaS de votre entreprise ? Rejoignez notre webinaire pour en savoir plus sur les types d’autorisations accordées et sur la façon de minimiser les risques.
Pour rendre la ruse convaincante, les comptes de médias sociaux associés au personnage frauduleux de « Sara Shokouhi » (@SaShokouhi sur Twitter et @sarashokouhii sur Instagram) ont prétendu avoir un doctorat en politique au Moyen-Orient.
De plus, les photos de profil de ces comptes, selon SecureWorks, auraient été prises à partir d’un compte Instagram appartenant à un psychologue et lecteur de cartes de tarot basé en Russie.
Il n’est pas immédiatement clair si l’effort a abouti à des attaques de phishing réussies. Le compte Twitter, créé en octobre 2022, reste actif à ce jour tout comme le compte Instagram.
« Le phishing et la collecte de données en masse sont les principales tactiques de Cobalt Illusion », a déclaré Rafe Pilling, chercheur principal et responsable thématique Iran chez SecureWorks CTU, dans un communiqué.
« Le groupe entreprend la collecte de renseignements, souvent des renseignements axés sur l’homme, comme l’extraction du contenu des boîtes aux lettres, des listes de contacts, des plans de voyage, des relations, de l’emplacement physique, etc. Ces renseignements sont probablement mélangés à d’autres sources et utilisés pour informer les opérations militaires et de sécurité de l’Iran. , étranger et national. »
