Иранские хакеры снова нарушили права людей на Ближнем Востоке

[Artifact]

Пользуясь ошибками разработчиков Google, злоумышленники незаметно собирают конфиденциальные данные пользователей.

Хакеры, связанные с иранским правительством, проводят кампанию социальной инженерии и фишинга, направленную против правозащитников, журналистов, исследователей, ученых, дипломатов и политиков, работающих на Ближнем Востоке. Жертвами стали не менее 20 человек. Об этом заявила организация Human Rights Watch (HRW).
В ходе кампании была скомпрометирована электронная почта и украдены конфиденциальные данные, принадлежащие трём целям:

• корреспондент крупной американской газеты;

• защитница прав женщин из стран Персидского залива;

• консультант по защите интересов Refugees International Николас Ноэ из Ливана.

Злоумышленники получили доступ к:

• электронной почте;

• облачному хранилищу;

• календарям;

• контактам.

А также украли все данные, связанные с аккаунтами Google, в виде архивных файлов через Google Takeout.
Цепочка заражения начинается с того, что жертва получает подозрительное сообщение в WhatsApp под предлогом приглашения на конференцию. В сообщении жертву убеждают перейти по ссылке на фишинговый сайт, имитирующий страницу входа в Microsoft, Google и Yahoo!, и захватить введенные учетные данные. 15 из 20 жертв получили одни и те же сообщения WhatsApp в период с 15 сентября по 25 ноября.

Эти фишинговые страницы также могут быть использованы в AiTM-атаке для взлома учетных записей c двухфакторной аутентификацией (2FA).
HRW также указала на недостатки в средствах защиты Google, поскольку предупреждения безопасности из-за активности в аккаунте Google не отображают какие-либо уведомления. Из-за этого жертвы атак даже не знали, что «их учетные записи Gmail были скомпрометированы или их данные выгружены через Google Takeout»

Активность угроз свидетельствует о более широкой кампании, в которой используются сокращатели URL-адресов для направления жертв на фишинговые страницы. Это поведение характерно для APT-группа, связанных с Ираном, таких как APT42 и Phosphorus .
Ранее исследователи из Mandiant отмечали, что группировка APT42 действует от имени Корпуса стражей исламской революции (КСИР) , а ее тактики, техники и процедуры (TTPs) очень напоминают APT35 – другую иранскую группу, известную как Charming Kitten и Phosphorus.
APT42 отдает предпочтение целевому фишингу против корпоративных и личных учетных записей электронной почты . Жертвами APT42 являются как минимум 14 стран, в том числе США, Австралия, страны Европы и Ближнего Востока, и среди них правительственные чиновники, бывшие иранские политики, члены иранской диаспоры и оппозиционных групп, журналисты и ученые.