Свои среди чужих, чужие среди своих: злоумышленники маскируются под журналистов и пытаются проникнуть в сети новостных СМИ

Proofpoint СМИ APT31 TA459 Charming Kitten Tortoiseshell TA457
Свои среди чужих, чужие среди своих: злоумышленники маскируются под журналистов и пытаются проникнуть в сети новостных СМИ
Proofpoint СМИ APT31 TA459 Charming Kitten Tortoiseshell TA457

Отчет об APT, атакующих СМИ, предоставили аналитики Proofpoint.

Аналитики Proofpoint в 2021 и 2022 годах наблюдали за APT, которые выдают себя за журналистов или напрямую атакуют цели, обладающие важной информацией. Давайте подробнее рассмотрим каждую APT, упомянутую в отчете Proofpoint.

APT, которые проводили целевые атаки на журналистов

  • Zirconium (TA412) – связанная с Китаем хакерская группировка, которая с начала 2021 года атаковала американских журналистов с помощью email-трекеров. Такие трекеры запускаются как только жертва открывает письмо, после чего код внутри трекера начинает собирать информацию о том, что письмо было открыто, когда и где это было сделано, а также сколько раз и с какого устройства. К февралю 2022 года Zirconium возобновила атаки на журналистов, сосредоточившись на в основном на тех, кто занимается освещением новостей, связанных со спецоперацией на Украине.

  • TA459 – китайская группировка, обнаруженная Proofpoint в апреле 2022 года. Хакеры атаковали журналистов с помощью RTF-файлов, при открытии которых на устройствах жертв появлялась копия вредоносной программы Chinoxy. Целью этой группировки были СМИ, публикующие новости, связанные с внешней политикой Афганистана.

  • TA404, обнаруженная весной 2022 года. В качестве приманки злоумышленники использовали поддельные объявления о вакансиях, которые массово рассылались работникам СМИ.

  • TA482, которая запускала кампании по сбору учетных данных журналистов, чтобы получить доступ к их аккаунтам в соцсетях.

Злоумышленники-хамелеоны, выдающие себя за журналистов

  • Charming Kitten (TA453) – иранская группировка, рассылавшая вредоносные электронные письма ученым и экспертам, которые занимались вопросами ближневосточной политики. Эти киберпреступники выдавали себя за журналистов и репортеров, пытаясь привлечь внимание жертв к своим письмам.

  • Tortoiseshell (TA456) – другая иранская группировка, которая маскировала свои вредоносные письма под информационные бюллетени от Guardian или Fox news.

  • TA457, которая стала одной из самых активных группировок, атакующих СМИ. Хакеры проводили свои кампании каждые две-три недели с сентября 2021 года по март 2022 года.

Аналитики Proofpoint считают, что атаки на СМИ продолжатся, а злоумышленники начнут использовать новые фишинговые уловки, трояны-дропперы и различные тактики социальной инженерии.