TA453, un grupo de amenazas persistentes avanzadas (APT) alineado con Irán, está haciendo todo lo posible para comprometer sus objetivos, adoptando una técnica conocida informalmente como suplantación de identidad de múltiples personas (MPI) en el libro de jugadas de ingeniería social que se utiliza para convencer a los objetivos de abrir sus correos electrónicos contaminados.
Eso es según los investigadores de Proofpoint, que han acuñado el término MPI como una táctica de suplantación de identidad en su Marco de taxonomía de fraude por correo electrónico. La técnica se resume simplemente como el uso de más de una persona controlada por un actor en un solo hilo de correo electrónico para convencer mejor a los destinatarios del mensaje.
La técnica representa el uso de un principio psicológico conocido como prueba social o influencia social informativa, definido por Wikipedia como un fenómeno por el cual las personas copian las acciones de otros para intentar comportarse adecuadamente en una situación que puede parecer ambigua o en la que no están seguros. .
La prueba social como concepto es ampliamente utilizada por profesionales de ventas y marketing, pero aunque el fenómeno fue identificado por primera vez hace casi 40 años por el psicólogo estadounidense Robert Cialdini como uno de los “Siete principios de influencia”, su uso en una campaña de phishing efectiva es muy intrigante. , como explicó Sherrod DeGrippo, vicepresidente de investigación y detección de Proofpoint.
“MPI requiere que se usen más recursos por objetivo, potencialmente quemando más personas, y un enfoque coordinado entre las diversas personalidades en uso por TA453”, dijo.
“Los investigadores involucrados en seguridad internacional, particularmente aquellos que se especializan en estudios de Medio Oriente o seguridad nuclear, deben mantener un mayor sentido de conciencia cuando reciben correos electrónicos no solicitados. Por ejemplo, los expertos a los que se acercan los periodistas deben consultar el sitio web de la publicación para ver si la dirección de correo electrónico pertenece a un reportero legítimo”.
DeGrippo agregó: “Los actores de amenazas alineados con el estado son algunos de los mejores en la elaboración de campañas de ingeniería social bien pensadas para llegar a sus víctimas previstas”.
En el caso de TA453, que es rastreado por otros como Charming Kitten, Phosphorus y APT42, MPI está demostrando ser muy efectivo contra sus objetivos, que, como se señaló, tienden a ser organizaciones de interés para los servicios de inteligencia de Irán.
En una campaña típica, TA453 se hace pasar por una persona que trabaja para colaborar con su objetivo, inicialmente a través de una conversación benigna que eventualmente conduce a la eliminación de enlaces maliciosos, lo que lleva a la recolección de credenciales.
Cambió esto a mediados de 2022, cuando se observó hacerse pasar por un investigador existente en el grupo de expertos del Instituto de Investigación de Política Exterior (FRPI) con un correo electrónico que hacía a su objetivo una serie de preguntas sobre la política con respecto a Israel y el Abraham negociado por los EE. UU. Pactos. Sin embargo, mientras que antes esto le habría parecido a la víctima una conversación uno a uno, se refería e incluía en la línea CC del correo electrónico el nombre de un analista del Centro de Investigación PEW.
La segunda persona respondió al correo electrónico un día después, lo que probablemente fue un intento de establecer en la mente del objetivo que el primer correo electrónico había sido legítimo y solicitar una respuesta. Sin embargo, Proofpoint no observó que se dejaran caer documentos o enlaces maliciosos a través de este correo electrónico.
En un segundo correo electrónico observado en junio de 2022, TA453 intentó comprometer a un objetivo que se especializa en la investigación del genoma haciéndose pasar por tres personas, nuevamente todas las cuales existen en la realidad. En este caso, utilizaron a un renombrado especialista cardiotorácico que trabaja en el Hospital General de Massachusetts en Boston, un director del Centro para la Salud Universal en el Programa de Salud Global de Chatham House y un periodista de Nature Biotechnology.
Este hilo, al que respondió el objetivo, usó el tema de la regeneración de órganos como señuelo y resultó en que el médico falso entregó un enlace de OneDrive que contenía un documento de Word con un nombre convincente, que en realidad era probablemente un intento de entregar macros de robo de información a través de inyección de plantilla remota.
Un tercer ejemplo de la técnica visto en junio vio dos objetivos en la misma universidad, que se especializan en la limitación de armas nucleares, contactados por cuatro personas TA453 con respecto a un posible enfrentamiento entre los EE. UU. y Rusia por Ucrania.
Un objetivo respondió, pero posteriormente eliminó a la persona original, momento en el que TA453 envió un correo electrónico de seguimiento para proporcionarles una contraseña para acceder al documento y hacerles saber que era “seguro” verlo. Al no recibir respuesta, la persona original fue eliminada del hilo por una de las otras falsificaciones, una aparición repetida del investigador de FRPI falso de TA453, y el enlace y la contraseña de OneDrive se enviaron nuevamente.
Es extremadamente importante tener en cuenta que no hay absolutamente ninguna indicación de que alguna de las personas reales identificadas por Proofpoint en el curso de su investigación tenga algún vínculo o asociación con la campaña, ni hay ninguna evidencia de que alguno de ellos haya sido victimizado alguna vez. por TA453. Por esta razón, Computer Weekly ha optado por eliminar sus nombres de este informe.
Proofpoint dijo que todos los ATP iteran constantemente sus tácticas, técnicas y procedimientos (TTP), destacando algunos y desaprobando otros, y su uso de MPI, que ha sido utilizado por otros de forma limitada, sobre todo TA2520 vinculado a Rusia, también conocido como Cosmic Lynx, continuaría iterándose a medida que el grupo lleva a cabo más actividades de recopilación de inteligencia para Teherán.
DeGrippo sugirió que es posible que TA453 ya haya dado el siguiente paso, señalando una instancia en la que intentó enviar un correo electrónico en blanco, luego respondió al correo electrónico en blanco e incluyó a sus muchos “amigos” en la línea CC. Esto podría ser un intento de eludir los servicios de seguridad de correo electrónico.
