El Centro Nacional de Ciberseguridad del Reino Unido (NCSC, por sus siglas en inglés) ha advertido a las organizaciones sobre los continuos ataques de spearphishing por parte de actores de amenazas rusos e iraníes.
En el aviso, el gobierno destacó las tácticas y técnicas que están utilizando el actor de amenazas SEABORGIUM, con sede en Rusia, y el grupo TA453, con sede en Irán.
Estos ataques, que tuvieron lugar a lo largo de 2022, se dirigen a sectores específicos y a personas relacionadas con la política, como el mundo académico, la defensa, las organizaciones gubernamentales, las organizaciones no gubernamentales (ONG) y los grupos de reflexión, así como a políticos, periodistas y activistas.
El NCSC instó a las organizaciones y personas de estos ámbitos a mantenerse alerta ante las tácticas empleadas por los dos grupos por separado.
En el aviso se afirmaba que los grupos empiezan por recabar información sobre sus objetivos a través de recursos de código abierto, como las redes sociales y las plataformas de redes profesionales.
Para aparentar legitimidad, los atacantes crean perfiles falsos en redes sociales que suplantan a expertos y periodistas respetados, y utilizan supuestas invitaciones a conferencias o eventos.
Tanto SEABORGIUM como TA453 utilizan direcciones de correo web de proveedores conocidos como Outlook y Gmail para enviar su mensaje inicial. También han creado dominios maliciosos que se asemejan a organizaciones legítimas para parecer auténticos, señala el aviso.
Los mensajes de phishing se envían principalmente a direcciones de correo electrónico personales, aunque también se han utilizado direcciones de correo electrónico de empresas. A continuación, los atacantes intentan establecer una relación con sus víctimas, a menudo estableciendo un contacto benigno sobre un tema que saben que les atraerá.
Una vez establecida la confianza, el atacante comparte un enlace malicioso, supuestamente a un documento o sitio web de interés. Esto lleva al objetivo a un servidor controlado por el actor, que le pide que introduzca las credenciales de su cuenta.
Al acceder a las credenciales, los atacantes las utilizan para acceder a las cuentas de correo electrónico de los objetivos, desde donde pueden acceder y robar correos electrónicos y archivos adjuntos confidenciales.
El NCSC añadió que los grupos de amenazas también han utilizado su acceso a la cuenta de correo electrónico de la víctima para acceder a los datos de la lista de correo y a su lista de contactos, lo que les ha permitido realizar actividades de phishing.
Spanish
English
Portuguese
Chinese (Simplified)
Russian
French
German
Dutch
Italian