Proofpoint СМИ APT31 TA459 Charming Kitten Tortoiseshell TA457
Отчет об APT, атакующих СМИ, предоставили аналитики Proofpoint.
Аналитики Proofpoint в 2021 и 2022 годах наблюдали за APT, которые выдают себя за журналистов или напрямую атакуют цели, обладающие важной информацией. Давайте подробнее рассмотрим каждую APT, упомянутую в отчете Proofpoint.
APT, которые проводили целевые атаки на журналистов
Zirconium (TA412) – связанная с Китаем хакерская группировка, которая с начала 2021 года атаковала американских журналистов с помощью email-трекеров. Такие трекеры запускаются как только жертва открывает письмо, после чего код внутри трекера начинает собирать информацию о том, что письмо было открыто, когда и где это было сделано, а также сколько раз и с какого устройства. К февралю 2022 года Zirconium возобновила атаки на журналистов, сосредоточившись на в основном на тех, кто занимается освещением новостей, связанных со спецоперацией на Украине.
TA459 – китайская группировка, обнаруженная Proofpoint в апреле 2022 года. Хакеры атаковали журналистов с помощью RTF-файлов, при открытии которых на устройствах жертв появлялась копия вредоносной программы Chinoxy. Целью этой группировки были СМИ, публикующие новости, связанные с внешней политикой Афганистана.
TA404, обнаруженная весной 2022 года. В качестве приманки злоумышленники использовали поддельные объявления о вакансиях, которые массово рассылались работникам СМИ.
TA482, которая запускала кампании по сбору учетных данных журналистов, чтобы получить доступ к их аккаунтам в соцсетях.
Злоумышленники-хамелеоны, выдающие себя за журналистов
Charming Kitten (TA453) – иранская группировка, рассылавшая вредоносные электронные письма ученым и экспертам, которые занимались вопросами ближневосточной политики. Эти киберпреступники выдавали себя за журналистов и репортеров, пытаясь привлечь внимание жертв к своим письмам.
Tortoiseshell (TA456) – другая иранская группировка, которая маскировала свои вредоносные письма под информационные бюллетени от Guardian или Fox news.
TA457 , которая стала одной из самых активных группировок, атакующих СМИ. Хакеры проводили свои кампании каждые две-три недели с сентября 2021 года по март 2022 года.
Аналитики Proofpoint считают, что атаки на СМИ продолжатся, а злоумышленники начнут использовать новые фишинговые уловки, трояны-дропперы и различные тактики социальной инженерии.
SECURITYLAB.RU