Discussioni di gruppo? Attenzione allo spionaggio cyber – l’analisi di Proofpoint

Durante la fine del 2021 e tutto il 2022, i ricercatori di Proofpoint hanno osservato TA453, che si sovrappone alle attività tracciate come Charming Kitten, PHOSPHORUS e APT42, innovando continuamente il suo approccio nel tentativo di soddisfare le proprie priorità di raccolta di informazioni. Alla fine di giugno 2022, questa evoluzione ha portato a campagne che utilizzano ciò che Proofpoint chiama informalmente Multi-Persona Impersonation (MPI), un sottoinsieme di impersonificazione indicato nel framework Email Fraud Taxonomy di Proofpoint. Con MPI, TA453 porta la propria tecnica di social engineering mirata a un nuovo livello, puntando ai ricercatori non con un solo “personaggio” controllato da un attore, ma con più persone. Questa tecnica consente a TA453 di sfruttare il principio psicologico della riprova sociale per frodare gli obiettivi e aumentare l’autenticità dello spear phishing dell’attore della minaccia. Proofpoint ha già osservato questa tecnica da parte di attori avanzati nella compromissione di e-mail aziendali, come TA2520 (Cosmic Lynx).

“I cybercriminali allineati agli Stati sono tra i migliori nella creazione di campagne di social engineering ben congegnate per raggiungere le loro vittime,” commenta Sherrod DeGrippo, VP of threat research and detection di Proofpoint. “In questo caso, i nostri ricercatori hanno visto l’attore TA453, allineato all’Iran, migliorare la sua attività utilizzando la Multi-Persona Impersonation, sfruttando la riprova sociale per convincere l’obiettivo ad accettare la truffa. Si tratta di una tecnica interessate perché richiede l’impiego di più risorse per ogni obiettivo – potenzialmente sfruttando più personaggi – e un approccio coordinato. I ricercatori che si occupano di sicurezza internazionale, in particolare quelli specializzati in studi sul Medio Oriente o sulla sicurezza nucleare, dovrebbero applicare maggiore consapevolezza quando ricevono e-mail non richieste. Ad esempio, gli esperti contattati da giornalisti dovrebbero controllare il sito web della testata per verificare se l’indirizzo e-mail appartiene a un giornalista legittimo.”