Gestohlene Bilder und gefälschte Profile für Spear-Phishing-Kampagne

Eine Untersuchung von Secureworks identifiziert eine Spear-Phishing-Kampagne, die auf Forscherinnen für politische Angelegenheiten und Menschenrechte mit Schwerpunkt Iran abzielt, als das Werk der staatlich gesponserten Bedrohungsgruppe COBALT ILLUSION. Diese Bedrohungsgruppe steht im Verdacht, im Auftrag des Geheimdienstes der Islamischen Revolutionsgarde (IRGC-IO) im Iran sowie möglicherweise anderer Geheimdienstkunden der iranischen Regierung zu operieren.

Verdächtige Interaktionen über Twitter-Account

Die Forschergruppe von Secureworks untersuchte ein Bündel von Aktivitäten, die am 24. Februar auf Twitter gemeldet wurden und gemeinsame Merkmale mit früheren Aktivitäten von COBALT ILLUSION aufwiesen. Eine Reihe von Personen, die sich mit der Erforschung von Menschenrechten und politischen Angelegenheiten im Iran befassen, meldeten verdächtige Interaktionen über denselben Twitter-Account. Die Zielpersonen wurden von einer Person kontaktiert, die den Namen Sara Shokouhi und @SaShokouhi verwendete und sie aufforderte, an einem Bericht des Atlantic Council, einer US-Denkfabrik, mitzuwirken. Bei den Zielpersonen handelte es sich durchweg um Frauen, die sich aktiv mit politischen Angelegenheiten und Menschenrechten im Nahen Osten befassen.

Die Vorgehensweise von COBALT ILLUSION besteht darin, Akademiker, Journalisten, Menschenrechtsaktivisten, politische Aktivisten, zwischenstaatliche Organisationen (IGOs) und Nichtregierungsorganisationen (NGOs), die sich auf den Iran konzentrieren, ins Visier zu nehmen. Sie interagieren mit den Zielpersonen über verschiedene Messaging-Plattformen, indem sie zunächst harmlose Links und Dokumente und dann einen bösartigen Link oder ein bösartiges Dokument versenden, um Anmeldedaten für Systeme zu fälschen, auf die COBALT ILLUSION zugreifen will. Mit diesem Zugang sammelt die Gruppe Daten und Informationen, die dazu verwendet werden, die Agenda der iranischen Regierungsgruppen voranzutreiben.

Konto @SaShokouhi seit Oktober 2022 aktiv

Das Konto @SaShokouhi ist seit Oktober 2022 aktiv. Er twittert oder beteiligt sich an Beiträgen, die die Proteste von Mahsa Amini im Iran unterstützen. Das Konto hat im Laufe der Zeit Inhalte geteilt, um sicherzustellen, dass es mit den Interessen und Forderungen der Demonstranten sympathisiert, und um die Illusion gemeinsamer Interessen zu schaffen, einschließlich der zynischen Verwendung erschütternder Inhalte wie Bilder von toten Kindern, körperlicher Misshandlung von Demonstranten, anti-iranischer Regierungskommentare und anti-iranischer Symbolik.

„Die Bedrohungsakteure erschaffen eine falsche Person und nutzen diese, um eine Beziehung zu den Zielpersonen aufzubauen, bevor sie versuchen, Anmeldedaten zu ergaunern oder Malware auf dem Gerät der Zielperson zu installieren. Eine überzeugende Persona ist ein wichtiger Teil dieser Taktik. In diesem Fall konnten wir bestätigen, dass die Persona Sara Shokouhi mit gestohlenen Bildern eines Instagram-Accounts erstellt wurde, der einer Psychologin und Tarotkartenleserin mit Sitz in Russland gehört“, sagt Rafe Pilling von Secureworks Counter Threat Unit. „Phishing und massenhaftes Sammeln von Daten sind die Haupttaktiken von COBALT ILLUSION. Wir haben dies in den letzten Jahren in verschiedenen Formen erlebt. Die Gruppe sammelt nachrichtendienstliche Informationen, häufig solche, die sich auf Menschen beziehen, wie z. B. den Inhalt von Postfächern, Kontaktlisten, Reisepläne, Beziehungen, Aufenthaltsorte usw. Diese Informationen werden wahrscheinlich mit anderen Quellen gemischt und für militärische und sicherheitspolitische Operationen Irans im In- und Ausland verwendet. Dazu könnten Überwachung, Verhaftung und Inhaftierung oder gezielte Tötung gehören.“