Report Proofpoint: con la campagna phishing BadBlood, hacker iraniani prendono di mira ricercatori israeliani e USA

01 April 2021 | News

BadBlood, è questo il nome che i ricercatori di sicurezza hanno dato alla campagna phishing che ha preso di mira – alla fine del 2020 – professionisti e ricercatori nel campo della genetica, della neurologia e onlcologia. I ricercatori attaccati hanno sede in Israele e Stati Uniti.

Secondo il report Proofpoint, negli attacchi informatici del 2020, TA453, è stato un gruppo hacker iraniano, ad aver lanciato una campagna di phishing che ha preso di mira le credenziali dei professionisti medici negli Stati Uniti e in Israele. Il gruppo TA453 – che è noto anche come CHARMING KITTEN e PHOSPHORUS – storicamente allineato con lil Corpo delle Guardie Rivoluzionarie Islamiche (IRGC) – nel tempo ha preso di mira dissidenti, accademici, diplomatici e giornalisti.

Nell’utlima campagna, soprannominata BadBlood – a causa anche delle continue tensioni geopolitiche tra Iran e Israele – la loro attività sembra una deviazione dalle normali attività e di targenting: si pensa quindi che l’obiettivo infatti possa essere il risultato di uno specifico requisito di raccolta di informazioni a breve termine.

BadBlood sottolina la tendenza crescente dei cyber criminali di attaccare il settore della ricerca medica.

L’analisi della campagna phishing BadBlood di Proofpoint

I presunti legami con hacker iraniani sono citati da ProofPoint secondo rapporti esterni che collegano il gruppo “Phosphorus” al governo iraniano e al suo Corpo delle Guardie rivoluzionarie islamiche (IRGC): le tattiche del 2020 sono infatti coerenti con quelle precedentemente utilizzate dal gruppo. Al momento però Proofpoint non può determinare in modo conclusivo la motivazione degli attori che conducono queste campagne. Potrebbe essere un cambio di trageting e uno specifico interesse verso i dati dei pazienti.

Proofpoint ha quindi concluso che una campagna informatica mirata a individui israeliani sarebbe anche “coerente” con le tensioni geopolitiche tra Israele e Iran, che si sono intensificate nel corso del 2020.
Ricercatori israeliani e americani presi di mira da un gruppo di hacker che sarebbe vicino all’Iran

Campagna di phishing delle credenziali

Per la campagna TA453 ha utilizzato un account Gmail – zajfman.daniel[@]gmail.com – controllato da un hacker che si fingeva un importante fisico israeliano. L’account ha inviato messaggi con il soggetto: “Armi nucleari a colpo d’occhio: Israele”, e conteneva esche di ingegneria sociale relative alle capacità nucleari israeliane. Le eMail contenevano un collegamento al dominio controllato da TA453, che falsifica il servizio OneDrive di Microsoft insieme a un’immagine di un logo di un documento PDF intitolato CBP-9075.pdf. Quando si tenta il download del PDF una pagina di accesso Microsoft falsificata tenta di raccogliere le credenziali utente. Inoltre la campagna redirige alla pagina “Iscriviti” di Microsoft Outlook all’indirizzo hxxps://signup.live. Una volta immesso un messaggio di posta elettronica dall’utente e fatto clic su “Avanti”, la pagina richiede una password….