La campagna mira primariamente a ottenere le credenziali di accesso a organizzazioni operanti soprattutto nell’industria energetica, oil&gas e settore pubblico
Alla fine di giugno, FireEye ha individuato una nuova campagna di phishing del gruppo hacker iraniano APT34, diretta verso numerose organizzazioni operanti in molteplici settori nell’area del Medio Oriente. Interesse primario è l’ottenimento di credenziali di accesso a istituti finanziari, aziende del settore energetico ed enti governativi.
Questa nuova campagna presenta alcune particolarità e novità nella sua esecuzione:
- Per guadagnare la fiducia delle potenziali vittime, così da ottenere l’apertura di documenti dannosi, gli hacker di APT34 si sono finti membri dell’Università di Cambridge
- Per consegnare documenti dannosi agli utenti hanno utilizzato Linkedin
- Nel proprio arsenale di attacco hanno aggiunto la disponibilità di tre nuove famiglie di malware
APT34 è un gruppo hacker iraniano, attivo sin dal 2014 principalmente in attività di spionaggio informatico.
Il gruppo è solito utilizzare un mix di strumenti pubblici e non pubblici per raccogliere informazioni strategiche che andrebbero a vantaggio degli interessi nazionali, in relazione a esigenze geopolitiche ed economiche.
APT34 possiede elementi di attività simili a gruppi come OilRig e Greenbug, segnalati in passato da vari ricercatori in materia di sicurezza.
Secondo FireEye l’Iran, a causa dell’aumento delle tensioni geopolitiche nell’area medio-orientale, aumenterà significativamente il volume e la portata delle sue campagne di spionaggio informatico. L’Iran ha necessità di ottenere intelligence strategica e probabilmente colmerà questa mancanza conducendo attività di spionaggio contro decision maker e organizzazioni chiave, che possono avere informazioni che contribuiscano a promuovere gli obiettivi economici e di sicurezza nazionale dell’Iran. L’identificazione di nuovi malware e la creazione di infrastrutture aggiuntive per consentire tali campagne, evidenzia il ritmo crescente di queste operazioni a sostegno degli interessi iraniani.
FireEye è certa che questa non sarà l’ultima volta che APT34 si presenterà con nuovi strumenti, in quanto i gruppi hacker continuano a modificare le loro tecniche, tattiche e procedure per ottenere il risultato desiderato.
L’azienda raccomanda alle organizzazioni di rimanere costantemente vigili nelle proprie difese, ricordandosi di vedere il proprio ambiente in modo olistico quando ci si occupa di information security.
Maggiori informazioni sono presenti nel blog pubblicato sul sito di FireEye e disponibile a questo link.
