Pambansang Sentro seguridad sa cyber ng Great Britain (NCSC) ay nag-uulat ng mga regular na cyberattacks na ginagawa ng mga hacker mula sa Russia at Iran.
Ayon sa ulat ng eksperto, ang mga hacker group na SEABORGIUM (aka Callisto Group/TA446/COLDRIVER/TAG-53) at TA453 (aka APT42/Charming Kitten/Yellow Garuda/ITG18) ay gumagamit ng mga naka-target na diskarte sa phishing upang atakehin ang mga institusyon at pribadong tao para sa layunin ng pangongolekta ng impormasyon.
Bagama't hindi kasabwat ang dalawang grupong ito, kahit papaano ay hiwalay sila sa isa't isa atake ang parehong mga uri ng mga organisasyon, na noong nakaraang taon ay kinabibilangan ng mga katawan ng pamahalaan, mga non-government na organisasyon, mga organisasyon sa depensa at sektor ng edukasyon, pati na rin ang mga indibidwal tulad ng mga pulitiko, mamamahayag at aktibista.
Ang naka-target na phishing ay, wika nga, isang sopistikadong pamamaraan phishing, kapag pinupuntirya ng isang umaatake ang isang partikular na tao at nagkunwaring may partikular na impormasyon na interesado sa kanilang biktima. Sa kaso ng SEABORGIUM at TA453, tinitiyak nila ito sa pamamagitan ng paggalugad ng mga magagamit na mapagkukunan upang malaman ang tungkol sa kanilang target.
Ang dalawang grupo ay gumawa ng mga pekeng profile sa social media at nagpanggap na kakilala ng mga biktima o eksperto sa kanilang larangan at mga mamamahayag. Karaniwang may hindi nakakapinsalang pakikipag-ugnayan sa una habang sinusubukan ng SEABORGIUM at TA453 na bumuo ng isang relasyon sa kanilang biktima upang makuha ang kanilang tiwala. Napansin ng mga eksperto na ito ay maaaring tumagal ng mahabang panahon. Pagkatapos ay magpapadala ang mga hacker ng malisyosong link, i-embed ito sa isang email o sa isang nakabahaging dokumento sa Microsoft Isang Drive o Google Drive.
Sa gitna seguridad sa cyber iniulat na "sa isang pagkakataon [TA453] ay nag-ayos pa ng isang Zoom na tawag upang magbahagi ng nakakahamak na URL sa chat habang nasa tawag." Naiulat din ang paggamit ng maraming pekeng pagkakakilanlan sa isang pag-atake ng phishing upang mapataas ang pagiging maaasahan.
Ang pagsunod sa mga link ay karaniwang dinadala ang biktima sa isang pekeng pahina sa pag-login na kinokontrol ng mga umaatake, at pagkatapos na ilagay ang kanilang mga kredensyal, sila ay na-hack. Pagkatapos ay ina-access ng mga hacker ang mga email inbox ng kanilang mga biktima upang magnakaw ng mga email, attachment at i-redirect ang mga papasok na email sa kanilang mga account. Bilang karagdagan, ginagamit nila ang mga naka-save na contact sa nakompromisong email upang maghanap ng mga bagong biktima sa mga susunod na pag-atake at simulan muli ang proseso.
Gumagamit ang mga hacker mula sa parehong grupo ng mga account mula sa mga karaniwang email provider para gumawa ng mga pekeng ID noong una silang nakipag-ugnayan sa isang target. Gumawa rin sila ng mga pekeng domain para sa mga mukhang lehitimong organisasyon. Kumpanya mula sa seguridad sa cyber Ang Proofpoint, na sumusubaybay sa pangkat na TA2020 ng Iran mula noong 453, ay higit sa lahat ay sumasalamin sa mga natuklasan ng NCSC: "Ang [TA453] na mga kampanya ay maaaring magsimula sa mga linggo ng mapagkaibigang pakikipag-usap sa mga account na nilikha ng hacker bago subukang mag-hack." Napansin din nila na ang iba pang mga target ng grupo ay kinabibilangan ng mga medikal na mananaliksik, isang aerospace engineer, isang ahente ng real estate at mga ahensya sa paglalakbay.
Bilang karagdagan, ang kumpanya ay naglabas ng sumusunod na babala: "Ang mga mananaliksik na nagtatrabaho sa internasyonal na mga isyu sa seguridad, lalo na ang mga dalubhasa sa Middle East o nuclear security research, ay dapat magsagawa ng mas mataas na pagbabantay kapag tumatanggap ng mga hindi hinihinging email. Halimbawa, dapat suriin ng mga ekspertong nakipag-ugnayan ang mga mamamahayag sa website ng publikasyon upang matiyak na ang email address ay pagmamay-ari ng isang lehitimong reporter."
Kawili-wili din: