CTU расследовал кластер активности, о котором сообщалось в Твиттере 24 февраля, который имел общие черты с прошлой активностью Cobalt Illusion. Ряд людей, занимающихся исследованиями в области прав человека и политических вопросов в Иране, сообщили о подозрительных взаимодействиях с той же учетной записи в Твиттере. С жертвами связался человек, использующий имя Сара Шокоухи и @SaShokouhi, который рассказал им о вкладе в Атлантический совет, сообщает аналитический центр США. Примечательно, что мишенями в этом случае были все женщины, активно участвующие в политических делах и правах человека в ближневосточном регионе.
Целью Cobalt Illusion являются ученые, журналисты, правозащитники, политические активисты, межправительственные организации (МПО) и неправительственные организации (НПО), занимающиеся Ираном. Они взаимодействуют с целями через различные платформы обмена сообщениями, сначала отправляя безопасные ссылки и документы, а затем отправляя вредоносные ссылки или документы для фишинговых учетных данных для систем, к которым Cobalt Illusion пытается получить доступ. С помощью этого доступа группа собирает данные и разведданные, которые используются для управления повесткой дня иранских правительственных групп.
Аккаунт @SaShokouhi работает с октября 2022 года. Твиттер или публикация постов в поддержку протестов Махсы Амини в Иране. Аккаунт со временем делился контентом, чтобы он выглядел сочувствующим интересам и требованиям протестующих и создавал иллюзию общих интересов, включая циничное использование тревожного контента, такого как изображения мертвых детей, физическое насилие, которому подвергались протестующие, антииранские комментарий правительства и антииранская символика.
|
|
«Субъекты угрозы создают поддельного человека и используют его для установления контакта с целями, прежде чем пытаться фишинговыми учетными данными или развертыванием вредоносного ПО на устройстве цели. Наличие убедительной персоны является важной частью этой тактики. В этом случае мы смогли подтвердить, что образ Сары Шокоуи был создан с использованием украденных изображений из аккаунта Instagram, принадлежащего психологу и тарологу из России», — сказал главный исследователь Secureworks CTU и руководитель тематического отдела по Ирану. Рейф Пиллинг.
«Фишинг и массовый сбор данных — основные тактики Cobalt Illusion. В последние годы мы видели, как это происходило в нескольких обличьях. Группа занимается сбором разведывательных данных, часто ориентированных на человека, таких как извлечение содержимого почтовых ящиков, списков контактов, планов поездок, отношений, физического местоположения и т. д. Эта информация, вероятно, смешивается с другими источниками и используется Ираном для информирования военных и операций безопасности; зарубежные и отечественные. Это может включать слежку, арест и задержание или целенаправленное убийство», — заключил Пиллинг.
По крайней мере, с 2014 года Secureworks CTU отслеживает Cobalt Illusion, нацеленную на нескольких людей с помощью поддельных персонажей в социальных сетях и фишинговых кампаний.
О Secureworks
Secureworks является мировым лидером в области кибербезопасности, который обеспечивает прогресс клиентов с помощью Secureworks Taegis, облачной аналитической платформы безопасности, созданной на основе более чем 20-летнего анализа реальных угроз и исследований, улучшающей способность клиентов обнаруживать сложные угрозы, оптимизировать расследования и сотрудничать с ними. и автоматизировать правильные действия.
Читать полную новость на сайте
/cloudfront-us-east-2.images.arcpublishing.com/reuters/ATYPQN5I4VP2NNBWZUDSFQ5TD4.jpg "Google соглашается инвестировать до $2 млрд в соперника OpenAI – Anthropic.")
