ИБ-эксперт близко подобрался к хакерам из Rocket Kitten и стал жертвой фишинговой атаки

Эксперт из ClearSky стал жертвой фишинговой кампании, за которой стоит группировка Rocket Kitten. Причиной послужил проводимый исследователем мониторинг активности хакеров, предположительно работающих по заказу правительства Ирана. Похоже на то, что он слишком близко подобрался к злоумышленникам, из-за чего и подвергся фишинговой атаке.

Группировка Rocket Kitten специализируется на политическом шпионаже, а в число ее жертв входят дипломаты, журналисты, правозащитники, оборонные организации и пр. По данным Trend Micro, большинство атак хакеров нацелены на страны Среднего Востока, и лишь 5% из них приходятся на Европу.

Исследователю из ClearSky удалось выдать себя за человека, который может заинтересовать Rocket Kitten. Сначала хакеры попытались связаться с ним через поддельную учетную запись в Facebook. Не добившись успеха, злоумышленники осуществили фишинговую атаку на одну из своих предыдущих жертв, использовав в качестве отправителя имя исследователя (эксперт ранее работал с этой жертвой). Существуют две возможности – либо Rocket Kitten знала, что находится под наблюдением, либо в руках хакеров оказалась переписка между исследователем и жертвой.

Исследователи проанализировали шаблоны, которых придерживается Rocket Kitten в своей деятельности, и определили ключевые особенности. Как правило, хакеры используют для фишинговых атак поддельные учетные записи в Google Drive и Gmail, выдавая себя за общественного деятеля или личность, интересующую хакеров (например, за израильских инженеров). Для подтверждения подлинности аккаунта злоумышленники используют похищенные документы. Также для того, чтобы непосредственно связаться с жертвой, Rocket Kitten отправляют ей личные сообщения в Facebook.

По данным экспертов, в последнее время увеличилось количество атак на отдельных лиц, а не на организации. В общей сложности ClearSky определили 550 жертв Rocket Kitten.