Nhóm đe dọa Iran ITG18 được biết đến khi nhắm mục tiêu vào các công ty dược phẩm và các chiến dịch tranh cử tổng thống Mỹ. IBM gọi nhóm này là ITG18, trong khi các công ty bảo mật khác gọi là APT35 hoặc Mèo con quyến rũ.
Nhóm được phát hiện hoạt động từ năm 2013, nhóm được biết đến vì đã tiến hành các cuộc tấn công lừa đảo tinh vi.
Video đào tạo tiếp xúc
Dịch vụ tình báo ứng phó sự cố X-Force của IBM (IRIS) tìm thấy một máy chủ liên kết với các cộng sự ITG18 có hơn 40 gigabyte video đào tạo và dữ liệu khác.
Một thất bại OPSEC với nhà điều hành ITG18 cho thấy hoạt động bên trong của các tác nhân đe dọa và cách để có một cái nhìn hậu trường độc đáo về phương pháp của họ, và có khả năng, là công việc của họ cho một hoạt động rộng hơn.
Các video đào tạo chủ yếu tập trung vào việc tạo tài khoản, truy cập thử nghiệm của nhà điều hành và lọc dữ liệu từ các tài khoản bị xâm nhập.
Dựa trên dấu thời gian của tệp video, video được tìm thấy sẽ được ghi lại khoảng một ngày trước khi được tải lên máy chủ do ITG18 vận hành.
Trong video, các nhà khai thác giải thích về cách thức thực hiện các bộ dữ liệu khác nhau được liên kết với các nền tảng này bao gồm danh bạ, ảnh và lưu trữ đám mây có liên quan.
Một số tài khoản thuộc sở hữu của nhà điều hành được quan sát trong các video đào tạo đã cung cấp cái nhìn sâu sắc hơn về personas liên quan đến ITG18, chẳng hạn như số điện thoại có mã quốc gia của Iran.
Các video cũng chứa các nỗ lực lừa đảo không thành công khi nhắm mục tiêu vào tài khoản cá nhân của một nhà từ thiện người Mỹ gốc Iran và các quan chức của Bộ Ngoại giao Hoa Kỳ.
Các video cũng tiết lộ các tài khoản persona và số điện thoại của Iran liên quan đến các nhà khai thác ITG18.
Dựa trên các tài liệu đào tạo, có vẻ như các nhà khai thác đang tìm cách thu thập thông tin xã hội tầm thường về các cá nhân.
Lưu ý: Nếu các tác nhân đe dọa được xác thực thành công đối với một trang web và nếu họ có xác thực đa yếu tố (MFA), họ sẽ dừng quá trình và chuyển sang các tài khoản khác.
Khám phá cho thấy tầm quan trọng của việc Sử dụng Xác thực Đa yếu tố, Đặt lại Mật khẩu Định kỳ & Sử dụng Trình quản lý Mật khẩu.
Bạn có thể theo dõi chúng tôi trên Linkedin, Twitter, Facebook để cập nhật tin tức an ninh mạng và hack hàng ngày.
