新たに発表された研究によると、イラン政府が支援するハッカーらは、防衛・航空宇宙産業の労働者を騙して機密を漏らすため、リバプール出身の軽薄なエアロビクスインストラクターを装っていたという。
プルーフポイント社の研究者らは今朝、企業セキュリティ企業である同社が社内で「TA456」として追跡していた、国家支援を受けたイラン人によって運営されている偽のソーシャルメディアアカウントを発見したと発表した。
イラン人はマルセラ・フローレスという偽名を使い、「何年もかけて」ターゲットとの関係を辛抱強く構築し、マルウェアを仕込んだメールを便利なデバイスで開かせるよう説得した。さらに、気づかないターゲットを騙すために「自分自身」の動画まで送っていた。
「ProofpointがLEMPOと名付けたLidercのアップデート版であるこのマルウェアは、常駐を確立すると、感染したマシンで偵察活動を行い、偵察の詳細をホストに保存し、SMTPS経由で攻撃者が管理するメールアカウントに機密情報を流出させ、その日のホストの痕跡を削除することで痕跡を隠蔽することができる」と、情報セキュリティ企業は本日公開されたブログ投稿で述べた。
Proofpointが追跡しているイラン人グループは、Imperial KittenやTortoiseshellといった様々な偽名を使い分けているようだ。彼らは西洋風の女性名を使うのが得意なようだ。Marcella "Marcy" Floresの場合、これまで公に知られていたよりも少し奥深い名前を使っていた。
現在は削除されている「彼女」のフェイスブックページのスクリーンショットには、友人以外の人なら疑問に思わないような、目立たないプロフィールが映っていた。まさにその意図通りだ。
Proofpointが発見した偽のMarcyアカウント
「『マルセラ』のプロフィールには、防衛関連企業の従業員であると公に認めている複数の人物と友人関係にあるとみられ、その人物らは『マルセラ』の居住地とされる英国リバプールから地理的に離れた場所に住んでいた」とプルーフポイントは述べた。
- 英国のシンクタンクによると、アメリカは世界唯一のサイバー超大国であり、中国より10年先を行っている。
- イランのメディアのウェブサイト数十件が大悪魔に食い尽くされたようだ。
- イランは、天候と選挙運動が熱くなり始める中、4か月間暗号通貨のマイニングを禁止した。
- SAP、イラン制裁違反で米当局と不起訴合意、800万ドル支払いへ
リバプールの南、ウェールズ国境のすぐ内側、ハワーデンにはエアバスの主翼工場があります。さらに数マイル進むとブロートンにもエアバスの工場があり、そこでは欧州空軍向けのユーロファイター・タイフーンの最終組立などが行われます。どちらの工場でも、エンジニアたちが地元の少女と思しき女性と会話していた可能性は容易に想像できますが、Proofpointは関係する請負業者の名前を明らかにしていません。
「Marcy」の削除は、Facebookが今月初めにウェブサイトからイラン関連の悪質なアカウントを一斉に削除したことと時を同じくして行われた。削除されたアカウントには、「航空宇宙および防衛産業内の特定のターゲットを引き寄せ、被害者を騙して認証情報収集サイトにアクセスさせる」ことを目的とした偽アカウントが目立った。
シマンテックは以前、Tortoiseshellに関する詳細な調査を発表し、サプライチェーン攻撃においてIT企業を標的としていることを明らかにしました。Cisco Talosも、このマルウェアが米軍退役軍人の求職活動を標的としていることを発見しました。
Tortoiseshell、Imperial Kitten、APT35 の間には大きな重複があるように見えますが、APT が上記のハッキング クルーと同一であるかどうかについては意見の一致がありません。®
