Um grupo com vínculo ao Irã foi relacionado a uma campanha "coordenada" e "multifásica" de spear-phishing, que tem como alvo embaixadas e consulados na Europa e em outras regiões do mundo.
A atividade foi atribuída pela empresa israelense de cybersecurity Dream a operadores alinhados ao Irã, ligados a uma ofensiva cibernética mais ampla realizada por um grupo conhecido como Homeland Justice.
“E-mails foram enviados a múltiplos destinatários governamentais em todo o mundo, disfarçando-se de comunicações diplomáticas legítimas”, disse a empresa.
“As evidências indicam um esforço de espionagem regional mais amplo, focado em entidades diplomáticas e governamentais durante um momento de tensão geopolítica elevada.”
As cadeias de ataque envolvem o uso de spear-phishing com temas relacionados às tensões geopolíticas entre Irã e Israel para enviar um arquivo malicioso do Microsoft Word que, ao ser aberto, induz os destinatários a “Enable Content”, para executar uma macro VBA (Visual Basic for Applications) incorporada, responsável por disparar o payload do malware.
De acordo com a Dream, as mensagens foram enviadas para embaixadas, consulados e organizações internacionais no Oriente Médio, África, Europa, Ásia e Américas, sugerindo que a campanha abarcou uma ampla rede de phishing.
Embaixadas europeias e organizações africanas foram os alvos mais visados.
As mensagens digitais foram enviadas a partir de 104 endereços únicos comprometidos, pertencentes a funcionários e entidades pseudo-governamentais, para adicionar uma camada extra de credibilidade.
Ao menos algumas das mensagens partiram de uma caixa de e-mail hackeada do Ministério das Relações Exteriores de Omã em Paris (*@fm.gov.om).
“O conteúdo de isca referia-se consistentemente a comunicações urgentes relacionadas a MFA, transmitindo autoridade, e explorava a prática comum de habilitar macros para acessar o conteúdo, que são características de uma operação de espionagem bem planejada que intencionalmente mascarava a atribuição”, afirmou a Dream.
O objetivo final dos ataques é, por meio da macro VBA, executar um programa que consiga estabelecer persistência, contatar um servidor de command-and-control (C2) e coletar informações do sistema.
A empresa de cybersecurity ClearSky, que também detalhou aspectos da campanha no final do mês passado, afirmou que os emails de phishing foram enviados para vários ministérios das relações exteriores.
“Técnicas semelhantes de obfuscação foram usadas por atores de ameaça iranianos em 2023, quando eles atacaram o Mojahedin-e-Khalq na Albânia”, informou em uma postagem no X.
Avaliamo com confiança moderada que essa atividade está ligada aos mesmos atores de ameaça iranianos.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...