Театр одного хакера: в ходе последних атак иранские киберпреступники выдают себя за нескольких людей сразу

Кампания кибершпионажа, проводимая группировкой государственных иранских хакеров под идентификатором TA453, была обнаружена в середине 2022 года исследователями из компании Proofpoint. Целями злоумышленников стали ближневосточные специалисты в областях ядерной безопасности и геномных исследований.

В ходе обнаруженной кампании злоумышленники использовали новую технику социальной инженерии, получившую название “перевоплощение в нескольких людей” (Multi-Persona Impersonation или MPI). Ее идея заключается в создании сразу нескольких фальшивых личностей, с помощью которых хакеры общаются с жертвой по электронной почте, имитируя разговор, тем самым убеждая в легитимности писем.

Представители TA453 начинают переписку с жертвой, отправляя ей письмо со множество вопросов на острые для ближневосточного региона. Но на самом деле, все эти вопросы нужны для того, чтобы был предлог отправить жертве вредоносную ссылку, с помощью которой хакеры пытаются собрать учетные данные жертвы или заставить ее загрузить вредоносный документ. Документ выполняет инъекцию шаблона для загрузки Korg – вредоносного шаблона, состоящего из трех макросов (Module1.bas, Module2.bas и ThisDocument.cls), которые предназначены для сбора имен пользователей, списка запущенных процессов и публичных IP-адресов жертв. Все собранные данные отправляются злоумышленникам с помощью API Telegram.

Эксперты предполагают, что TA453 продолжит использовать и развивать MPI в будущих атаках. Исследователи уже заметили новый метод – хакеры отправляют пустое электронное письмо, а затем отправляют на него ответ всем фальшивым личностям. Это, скорее всего, является попыткой обойти обнаружение системами безопасности.