I slutet av 2020 inledde TA453, en iransk hackergrupp, en omfattande phishing-kampanj, riktad mot medicinsk personal som specialiserar sig på genetisk, neurologisk och onkologisk forskning i USA och Israel.
TA453 (som en del refererar till som CHARMING KITTEN och andra kallar PHOSPHORUS) har historiskt kopplats samman med insamlingar för Islamska revolutionsgardet (IRGC) och riktat sig mot dissidenter, akademiker, diplomater och journalister.
Den senaste kampanjen från TA453, kallad BadBlood, avviker från det gruppen vanligtvis sysselsätter sig med. BadBlood följer en tydlig trend där medicinsk forskning i allt större utsträckning blivit en måltavla för den här typen av hotaktörer.
Falska domäner används för att stjäla uppgifter
I kampanjen använde TA453 ett Gmail-konto som verkade tillhöra en framstående israelisk fysiker. Kontot (zajfman.daniel[@]gmail.com) skickade meddelanden med ämnet “Nuclear weapons at a glance: Israel”. Dessa e-postmeddelanden innehöll en länk till den TA453-kontrollerade domänen 1drv[.]casa. När mottagaren klickat på den leder adressen till en falsk Microsoft OneDrive-tjänst tillsammans med en bild av ett PDF-dokument med titeln CBP-9075.pdf.
När mottagaren försöker visa och ladda ner PDF-dokumentet visar 1drv[.]casa en förfalskad Microsoft-inloggningssida som försöker stjäla användaruppgifter. När användaren skriver in sin e-postadress frågar sidan efter ett lösenord, därefter omdirigeras de till Microsoft OneDrive där dokumentet, som i sig inte innehåller skadlig kod, “Nuclear weapons at a glance: Israel” finns tillgängligt.
Även om Proofpoint för närvarande inte har ytterligare insyn i hur TA453 använt de uppgifter man kommit över från den här specifika kampanjen indikerar offentlig data från CERTFA att TA453 tidigare har använt stulna användaruppgifter för att exfiltrera innehåll från e-post-konton. I tidigare kampanjer har iranska aktörer, bland annat TA453, använt sig av den här typen av komprometterade konton för att genomföra ytterligare nätfiske-attacker.
Påminner om tidigare attacker
Attacken från TA453 har varit riktad mot utvalda måltavlor, med färre än 25 seniora forskare på medicinska institutioner i USA och Israel som identifierade mottagare. Proofpoints analys av deras offentligt tillgängliga forskning visar att attacken varit inriktad på forskning inom genetik, onkologi och neurologi.
För närvarande kan Proofpoint inte definitivt slå fast vad motivationen bakom dessa kampanjer är. Eftersom samarbete för medicinsk forskning ofta bedrivs informellt via e-post kan den här kampanjen visa att en del av aktörerna bakom TA453 fått krav på sig att samla in specifik medicinsk information relaterad till forskning inom de tre fälten. En annan möjlighet är att kampanjen varit en del i ett försök att komma åt patientinformation.
Proofpoint kan heller inte definitivt koppla samman TA453 med IRGC, men taktiken och teknikerna som observerats i BadBlood speglar väl de som använts i tidigare kampanjer som knutits till TA453. Den övergripande inriktningen av TA453-kampanjer som upptäcks av Proofpoint verkar också stödja IRGC-insamlingar.
2019 anklagade det amerikanska justitiedepartementet fyra iranska individer för att ha använt sociala medier och e-postmeddelanden för att utföra skadliga datorintrång åt IRGC. Andra aktörer i branschen identifierade denna aktivitet som en del av CHARMING KITTEN både 2017 och 2019. I början av 2019 rapporterade Microsoft att TA453 missbrukade välkända e-postmärken för att utföra spearphishing-attacker mot myndigheter, politiska mål och journalister på uppdrag av den iranska regeringen.