- TA456, un attore allineato allo stato iraniano, ha trascorso anni mascherato dietro al personaggio fittizio di “Marcella Flores” nel tentativo di infettare con malware il dispositivo di un dipendente di un contractor della difesa aerospaziale.
- Il malware, definito LEMPO da Proofpoint, è stato progettato per stabilire la persistenza, eseguire la ricognizione ed esfiltrare informazioni sensibili.
- TA456 colpisce attivamente le filiali e i contractor dalle dimensioni ridotte, per compromettere gli appaltatori di difesa più grandi, utilizzando una supply chain compromessa.
- Anche se prendere di mira i contractor della difesa non è una novità per TA456, questa campagna stabilisce in modo univoco il gruppo come uno dei più determinati allineati all’Iran tracciati da Proofpoint a causa del suo uso significativo dell’ingegneria sociale, della comunicazione tra piattaforme e della persistenza generale.
Una panoramica
I ricercatori Proofpoint hanno identificato una campagna mirata di social engineering e malware durata anni da parte del gruppo di hacker TA456, allineato allo stato iraniano. Nascondendosi dietro il falso profilo social “Marcella Flores”, TA456 ha costruito una relazione attraverso piattaforme di comunicazione aziendali e personali con un dipendente di una piccola filiale di un contractor della difesa aerospaziale. All’inizio di giugno 2021, gli hacker hanno tentato di capitalizzare su questa relazione inviando il malware di destinazione attraverso uno scambio di e-mail in corso.
Progettato per condurre una ricognizione sul dispositivo dell’obiettivo, il documento carico di macro conteneva un contenuto personalizzato e dimostrava l’importanza che ricopriva per TA456. Una volta che il malware, una versione aggiornata di Liderc che Proofpoint ha definito LEMPO, si stabilisce sulla macchina, può eseguirne la ricognizione, salvarne i dettagli sull’host, esfiltrare informazioni sensibili a un account e-mail controllato dall’attore tramite SMTPS, e poi coprire le sue tracce cancellando gli artefatti dell’host di quel giorno.
Questa campagna conferma la natura persistente di alcune minacce allineate allo stato e dell’impegno che sono disposti a condurre a sostegno delle operazioni di spionaggio. A metà luglio, Facebook ha eliminato una rete di profili simili attribuiti a Tortoiseshell. LEMPO, il malware, di cui Proofpoint ha interrotto la distribuzione, insieme alla rete di figure collegate, sono attribuiti a TA456, attore ritenuto essere in qualche modo allineato al Corpo delle Guardie Rivoluzionarie Islamiche (IRGC) attraverso l’associazione con la società iraniana Mahak Rayan Afraz (MRA), secondo l’analisi di Facebook.
Ulteriori informazioni sullo svolgimento della campagna sono disponibili al sito:
