Un’indagine Proofpoint ha identificato una campagna malware e di social engineering durata anni da parte del gruppo di hacker TA456, allineato allo stato iraniano. Infatti nascondendosi dietro il falso profilo social “Marcella Flores“, TA456 ha costruito una relazione attraverso piattaforme di comunicazione aziendali e personali con un dipendente di una piccola filiale di un contractor della difesa aerospaziale.
All’inizio di giugno 2021, gli hacker hanno tentato di capitalizzare su questa relazione inviando il malware di destinazione attraverso uno scambio di e-mail in corso.
Proofpoint identifica campagna di malware
Progettato per condurre una ricognizione sul dispositivo dell’obiettivo, il documento carico di macro conteneva un contenuto personalizzato. Inoltre dimostrava l’importanza che ricopriva per TA456. Il malware, è una versione aggiornata di Liderc che Proofpoint ha definito LEMPO.
Una volta che si stabilisce sulla macchina, può eseguirne la ricognizione, salvarne i dettagli sull’host. Poi esfiltrare informazioni sensibili a un account e-mail controllato dall’attore tramite SMTPS. Infine coprire le sue tracce cancellando gli artefatti dell’host di quel giorno.
Proofpoint identifica campagna di malware
A capo del gruppo si trova TA456
Questa campagna conferma la natura persistente di alcune minacce allineate allo stato e dell’impegno che sono disposti a condurre a sostegno delle operazioni di spionaggio. A metà luglio, Facebook ha eliminato una rete di profili simili attribuiti a Tortoiseshell.
LEMPO. Il malware, di cui Proofpoint ha interrotto la distribuzione, insieme alla rete di figure collegate, sono attribuiti a TA456. Quest’ultimo è un attore ritenuto essere in qualche modo allineato al Corpo delle Guardie Rivoluzionarie Islamiche (IRGC) attraverso l’associazione con la società iraniana Mahak Rayan Afraz (MRA), secondo l’analisi di Facebook.