Журналисты по всему миру под прицелом киберпреступников

Правительственные хакерские группы Китая, Ирана, Северной Кореи и Турции нацелены на журналистов для ведения шпионажа и распространения вредоносных программ в рамках серии кампаний с начала 2021 года.

«Чаще всего фишинговые атаки на журналистов используются для шпионажа или для получения ключевой информации о внутренней работе другого правительства, компании или области, интересным государству», — говорится в отчете Proofpoint. По словам Proofpoint, конечной целью вторжений является получение преимущества в конкурентной разведке или распространение дезинформации и пропаганды.

Proofpoint выявила 2 китайские группы APT31 (Zirconium, Judgment Panda) и TA459 , атаковавшие сотрудников СМИ с помощью вредоносных электронных писем, содержащих веб-маяки и зараженные вложения, которые использовались для сбора информации о сетевых средах получателей и распространения вредоносного ПО Chinoxy .

Кроме того, связанная с Северной Кореей группа Lazarus (TA404) атаковала неназванную американскую медиакомпанию с помощью поддельного предложения работы после критики компании верховного лидера Ким Чен Ына, что еще раз свидетельствует о том, что хакеры продолжают использовать этот способ атаки для достижения своих целей.

«Кампании могут использовать скомпрометированные учетные записи в социальных сетях для распространения пропаганды», — предположили исследователи.

Также Proofpoint описала атаку иранской APT-группы Charming Kitten (TA453), в которой хакеры под видом ученых побуждали журналистов и политологов переходить по вредоносным ссылкам , которые перенаправляют цели на домены для сбора учетных данных.

По словам исследоваталей, банда Tortoiseshell (TA456, Imperial Kitten) выдавала себя за Fox News и Guardian для отправки электронных писем с информационными бюллетенями, содержащих веб-маяки.

Участник связанной с Ираном APT-группировки TA457 выдавал себя за репортера iNews и доставлял DNS-бэкдор на основе .NET специалистам по связям с общественностью компаний в США, Израиле и Саудовской Аравии.

Тот факт, что журналисты и СМИ стали мишенями киберпреступников, подчеркивается их способностью предлагать «уникальный доступ и информацию», что делает их выгодными целями для сбора разведданных.

«Вовремя проведенная и успешная атака на учетную запись электронной почты журналиста может дать представление о конфиденциальных, многообещающих историях и идентификации источника. Скомпрометированная учетная запись может быть использована для распространения дезинформации или прогосударственной пропаганды во время военных действий или для влияния на политически напряженную атмосферу», — заявили исследователи.