Sotto le spoglie di diversi studiosi britannici della School of Oriental and African Studies (SOAS) dell’Università di Londra, già da gennaio 2021 l’autore di minacce TA453 si è avvicinato segretamente a singoli individui alla ricerca di informazioni sensibili. L’autore, un APT che riteniamo sostenga con grande fiducia gli sforzi di raccolta di intelligence del Corpo delle Guardie Rivoluzionarie islamiche (IRGC), ha stabilito un backstopping per la propria infrastruttura di phishing delle credenziali compromettendo un sito legittimo di un’istituzione accademica molto rispettata per fornire pagine personalizzate di raccolta delle credenziali mascherate da link di registrazione. Gli obiettivi identificati includevano esperti di affari mediorientali di think tank, professori senior di note istituzioni accademiche e giornalisti specializzati nell’area del Medio Oriente.
Questi tentativi di connessione sono stati estesi e dettagliati, spesso strutturati su lunghe conversazioni, prima di passare alla fase successiva della catena di attacco. Una volta stabilita la conversazione, TA453 ha consegnato un link di registrazione a un sito web legittimo, ma compromesso, appartenente alla radio dell’istituto SOAS dell’Università di Londra, configurato per catturare una serie di credenziali. Da notare che TA453 ha anche preso di mira gli account e-mail personali di almeno uno dei suoi obiettivi. Nelle successive e-mail di phishing, TA453 ha spostato le tattiche e iniziato a fornire il link di registrazione già all’inizio del dialogo con il potenziale target senza richiedere una conversazione estesa. Questa operazione, soprannominata SpoofedScholars, rappresenta una delle campagne TA453 più sofisticate identificate da Proofpoint.
Conclusione:
TA453 ha ottenuto illegalmente l’accesso a un sito web appartenente a un’istituzione accademica di livello mondiale per sfruttare l’infrastruttura compromessa al fine di raccogliere le credenziali dei suoi obiettivi. L’uso di infrastrutture legittime, ma compromesse, rappresenta un aumento della sofisticazione di TA453 e quasi certamente si rifletterà nelle campagne future. TA453 continua a iterare, innovare e raccogliere a sostegno delle priorità di raccolta dell’IRGC. Mentre alcuni dei selezionatori identificati non sembrano più essere attivi nelle operazioni di TA453, gli esperti Proofpoint ritengono molto probabile che TA453 continuerà a prendere di mira gli studiosi di tutto il mondo a sostegno delle operazioni di raccolta di informazioni di TA453 a sostegno degli interessi del governo iraniano. Gli accademici, i giornalisti e il personale dei think tank dovrebbero usare cautela e verificare l’identità degli individui che entrano in contatto con loro.