TA453 si è mascherato da studioso britannico per colpire segretamente individui di interesse per l’intelligence del governo iraniano in quella che Proofpoint (che ha seguito questa campagna di spoofing) ha soprannominato Operation SpoofedScholars.
Più nello specifico, quel che è avvenuto è che sotto le spoglie di diversi studiosi britannici della School of Oriental and African Studies (SOAS) dell’Università di Londra, già da gennaio 2021 l’autore di minacce TA453 si è avvicinato segretamente a singoli individui alla ricerca di informazioni sensibili.
L’autore dell’APT ha stabilito un backstopping per la propria infrastruttura di phishing delle credenziali compromettendo un sito legittimo di un’istituzione accademica molto rispettata per fornire pagine personalizzate di raccolta delle credenziali mascherate da link di registrazione.
Gli obiettivi identificati includevano esperti di affari mediorientali di think tank, professori senior di note istituzioni accademiche e giornalisti specializzati nell’area del Medio Oriente.
Questi tentativi di connessione sono stati estesi e dettagliati, spesso strutturati su lunghe conversazioni, prima di passare alla fase successiva della catena di attacco.
Una volta stabilita la conversazione, TA453 ha consegnato un link di registrazione a un sito web legittimo, ma compromesso, appartenente alla radio dell’istituto SOAS dell’Università di Londra, configurato per catturare una serie di credenziali.
Da notare che TA453 ha anche preso di mira gli account e-mail personali di almeno uno dei suoi obiettivi. Nelle successive e-mail di phishing, TA453 ha spostato le tattiche e iniziato a fornire il link di registrazione già all’inizio del dialogo con il potenziale target senza richiedere una conversazione estesa. Questa operazione rappresenta una delle campagne TA453 più sofisticate identificate da Proofpoint.
TA453 ha ottenuto illegalmente l’accesso a un sito web appartenente a un’istituzione accademica di livello mondiale per sfruttare l’infrastruttura compromessa al fine di raccogliere le credenziali dei suoi obiettivi. L’uso di infrastrutture legittime, ma compromesse, rappresenta un aumento della sofisticazione di TA453 e quasi certamente si rifletterà nelle campagne future.
TA453 continua a iterare, innovare e raccogliere a sostegno delle priorità di raccolta dell’IRGC. Mentre alcuni dei selezionatori identificati non sembrano più essere attivi nelle operazioni di TA453, gli esperti Proofpoint ritengono molto probabile che TA453 continuerà a prendere di mira gli studiosi di tutto il mondo.
