Новая кампания целевого фишинга перехватывает сообщения электронной почты

Исследователи безопасности обнаружили новую крупную фишинговую операцию, проводимую при поддержке государства и нацеленную на нескольких высокопоставленных израильских и американских чиновников.

По данным Check Point, кампания связана с иранской группой Phosphorus ATP и была нацелена:

• на бывшего министра иностранных дел и заместителя премьер-министра Израиля Ципи Ливни, бывшего посла США в Израиле,
• а также бывшего генерал-майора Армии обороны Израиля.

Как происходит атака:

1. Злоумышленник компрометирует почтовый ящик частого контакта цели.
2. Затем перехватывает существующий разговор между ними.
3. Далее злоумышленник открывает новый поддельный адрес электронной почты, выдающий себя за тот же контакт.
4. Затем пытается продолжить разговор в нескольких сообщениях, используя этот поддельный адрес. Иногда добавляя настоящие документы, чтобы создать достоверное впечатление.

В одном случае с Ливни связался «генерал-майор в отставке» по его реальному адресу электронной почты и несколько раз попросил щелкнуть ссылку и использовать ее пароль, чтобы открыть документ. Настоящий генерал-майор подтвердил, что никогда не отправлял подобные электронные письма.

Менеджер группы Check Point по анализу угроз Сергей Шикевич прокомментировал:

«Мы разоблачили иранскую фишинговую инфраструктуру, нацеленную на руководителей государственного сектора Израиля и США с целью кражи их личной информации, сканов паспортов и доступа к их почтовым учетным записям».

В 2019 году Microsoft заявила, что разрушила группу Phosphorous (также известную как APT35 и Charming Kitten) после того, как постановление суда позволило ей взять под контроль 99 фишинговых доменов, используемых группой.