Иранские хакеры 18 месяцев выдавали себя за инструктора по аэробике, чтобы распространить вирус

29 июля 2021, 21:02
Читати новину українською

Источник:

Proofpoint

Группа хакеров TA456, также известная под названиями Tortoiseshell и Imperial Kitten, 18 месяцев входила в доверие к работникам различных компаний, чтобы в удобный момент заразить их компьютеры вирусом. Для этого они придумали инструктора по аэробике Марселлу Флорес.

Страница вымышленной личности велась на Facebook. Целью злоумышленников были компании-подрядчики, работающие в сфере воздушно-космической обороны США, особенно те, кто участвует в операциях на Ближнем Востоке.

Интересно директора Директора Huawei немедленно уволили после публичного оскорбления в адрес Илона Маска

Марселла Флорес – личность, которой не существовало


Страница Марселлы Флорес в Facebook / Фото Proofpoint

  • Исследователи пишут, что для атаки еще в 2019 году хакеры создали в Facebook и Instagram профиль Марселлы Флорес, которая якобы была инструктором по аэробике.

Хакеры не спешили и потратили месяцы на установление контакта со своими целями, переписываясь с ними по почте и в личных сообщениях, прежде чем перейти к попыткам запустить вирус к компьютерам.

  • Лишь в начале 2021 года злоумышленники использовали учетную запись Gmail для атаки.
  • С этого адреса уже давно продолжалась переписка, поэтому жертвы доверяли ей. Ранее они получали различные опросы, которые касались диеты, или видеофайлы.


Опросы о рационе от Марселлы Флорес / Фото Proofpoint

Вирус Lempo

  • Приманка использовалась для распространения обновленной версии вируса Lideric, которую исследователи называют Lempo.
  • Lempo тайно закрепляется в системе жертвы, позволяя злоумышленникам искать и похищать конфиденциальную информацию, включая имена пользователей и пароли.
  • В Proofpoint отмечают, что невозможно сказать наверняка, были ли эти атаки успешными.
  • В теории, похищенные учетные данные могли помочь злоумышленникам развивать атаки и шпионские кампании дальше.
  • Кража данных у подрядчиков, работающих в сфере оборонной промышленности, могла дать хакерам возможность продвинуться дальше по цепочке поставок и к сетям оборонных и аэрокосмических компаний.

Сейчас профиль Марселлы Флорес деактивирован.

Ранее в Facebook сообщали о ликвидации сложной кибершпионской кампании, за которой стояли иранские группировки Tortoiseshell. По данным специалистов социальной сети, кампания была направлена ​​против 200 военнослужащих и компаний оборонного и аэрокосмического секторов в США, Великобритании и Европе. Для атак хакеры использовали "большую сеть" поддельных онлайн-личностей.