Home Ciberguerra El grupo APT iraní, Phosphorus, tiene como objetivo a investigadores médicos

El grupo APT iraní, Phosphorus, tiene como objetivo a investigadores médicos

Una organización de ataque, conocida como Charming Kitten o Phosphorus, vinculada al gobierno iraní, llevó a cabo recientemente una campaña de robo de credenciales muy selectiva contra personal de alto nivel de instituciones médicas y centros de investigación de Estados Unidos e Israel, utilizando PDFs amañados como señuelo y posiblemente indicando un cambio de objetivo del grupo.

La campaña tuvo lugar en diciembre de 2020 y los investigadores descubrieron que el grupo Phosphorus tenía como objetivo un grupo pequeño y bastante específico de personas en el campo de la investigación médica. Los atacantes utilizaron la conocida técnica de spear-phishing, aunque el señuelo en sí es un poco extraño, dado que los objetivos están todos en el campo de la medicina. El grupo, al que Proofpoint llama TA453, envió correos electrónicos a las víctimas potenciales con el asunto “Armas nucleares de un vistazo: Israel”. El cuerpo del correo electrónico contiene información sobre las capacidades nucleares de Israel y un enlace a un sitio web controlado por los atacantes. Si la víctima hace clic en el enlace, el sitio sirve una página de phishing que le pide que introduzca las credenciales de Microsoft OneDrive. La campaña se conoce como BadBlood y los investigadores dijeron que compartía algunas similitudes con otras campañas conocidas del mismo grupo.

“El intento de utilizar cualquier otro hipervínculo en la página web da como resultado la misma redirección a la misma página falsificada de inicio de sesión de Microsoft, excepto el enlace “¡Crea uno!”. Esta pestaña lleva a la página legítima de ‘Registro’ de Microsoft Outlook”, dice un informe de Proofpoint, que descubrió la campaña.

“Una vez que el usuario introduce un correo electrónico y hace clic en ‘Siguiente’, la página solicita una contraseña. Una vez que el usuario introduce sus credenciales, es redirigido a OneDrive de Microsoft, donde se aloja el documento benigno ‘Nuclear weapons at a glance: Israel”.

Este tipo de campaña altamente dirigida es típica de los grupos APT, y los profesionales e investigadores médicos se han convertido en objetivos principales en el último año, a medida que la pandemia de COVID-19 se ha ido extendiendo. En los últimos meses ha habido varias campañas de APT dirigidas a la investigación y a las instalaciones de fabricación de la vacuna contra la COVID-19, pero la nueva campaña de Phosphorus estaba dirigida a los profesionales médicos de la oncología, la genética y la neurología, no a la investigación de la epidemiología o las enfermedades infecciosas.

“Las campañas de phishing de credenciales de TA453 suelen dirigirse a un número reducido de personas, lo que supone un cambio con respecto a otros APTS iraníes”, afirma Sherrod DeGrippo, director senior de detección y respuesta a amenazas de Proofpoint.

Se sabe que el grupo de ataque tiene un objetivo y una colección que se alinea con el Cuerpo de la Guardia Revolucionaria Islámica de Irán.

“TA453 tenía como objetivo a menos de 25 profesionales de alto nivel en una variedad de organizaciones de investigación médica ubicadas en los Estados Unidos e Israel. El análisis de Proofpoint de los esfuerzos de investigación disponibles públicamente y los currículos indican que TA453 se dirigió a personas con experiencia en genética, oncología o neurología”, dice el informe de Proofpoint.