Іранські хакери 18 місяців видавали себе за інструкторку з аеробіки, щоб поширити вірус
Група хакерів TA456, також відома під назвами Tortoiseshell і Imperial Kitten, 18 місяців входила в довіру до працівників різних компаній, щоб у зручний момент заразити їхні комп'ютери вірусом. Для цього вони вигадали інструкторку з аеробіки Марселлу Флорес.
Сторінка вигаданої особи велася на Facebook. Ціллю зловмисників були компанії-підрядники, що працюють у сфері повітряно-космічної оборони США, особливо ті, хто бере участь в операціях на Близькому Сході.
Марселла Флорес – особа, якої не існувало
Сторінка Марселли Флорес у Facebook / Фото Proofpoint
Дослідники пишуть, що для атаки ще у 2019 році хакери створили в Facebook і Instagram профіль Марселли Флорес, яка нібито була інструктором з аеробіки.
Хакери не поспішали і витратили місяці на встановлення контакту зі своїми цілями, листуючись з ними поштою і в особистих повідомленнях, перш ніж перейти до спроб запустити вірус до комп'ютерів.
-Лише на початку 2021 року зловмисники використали обліковий запис Gmail для атаки.
-З цієї адреси вже давно тривало листування, тому жертви довіряли їй. Раніше вони отримували різноманітні опитування, що стасувались дієти, або відеофайли.
Опитування про раціон від Марселли Флорес / Фото Proofpoint
Вірус Lempo
-Приманка використовувалася для поширення оновленої версії віруса Lideric, яку дослідники називають Lempo.
-Lempo таємно закріплюється в системі жертви, дозволяючи зловмисникам шукати і викрадати конфіденційну інформацію, включаючи імена користувачів і паролі.
-У Proofpoint зазначають, що неможливо сказати напевно, чи були ці атаки успішними.
-У теорії, викрадені облікові дані могли допомогти зловмисникам розвивати атаки і шпигунські кампанії далі.
-Крадіжка даних у підрядників, що працюють у сфері оборонної промисловості, могла дати хакерам можливість просунутися далі по ланцюжку поставок і отримати доступ до мереж оборонних та аерокосмічних компаній.
Зараз профіль Марселли Флорес деактивовано.