I ricercatori di Proofpoint hanno identificato una campagna di social engineering e malware mirata da parte dell’attore di minacce TA456 che ha passato anni fingendosi una persona, “Marcella Flores”, nel tentativo di infettare con malware la macchina di un dipendente di un appaltatore della difesa aerospaziale.
Utilizzando il personaggio dei social media “Marcella Flores”, TA456 ha costruito una relazione attraverso piattaforme di comunicazione aziendale e personale con un dipendente di una piccola filiale di un appaltatore della difesa aerospaziale.
All’inizio di giugno 2021, ha tentato di trarre vantaggio da questa relazione inviando il malware di destinazione tramite una catena di comunicazione e-mail in corso.
Progettato per condurre ricognizioni sulla macchina del bersaglio, il documento ricco di macro conteneva contenuti personalizzati e dimostrava l’importanza che TA456 attribuiva al bersaglio.
Il malware, soprannominato da Proofpoint LEMPO, è stato progettato per stabilire la persistenza, eseguire ricognizioni ed esfiltrare informazioni sensibili.
Una volta che LEMPO stabilisce la persistenza, può eseguire la ricognizione sulla macchina infetta, salvare i dettagli della ricognizione sull’host, esfiltrare le informazioni sensibili in un account di posta elettronica controllato dall’attore tramite SMTPS e quindi coprire le sue tracce eliminando gli artefatti dell’host di quel giorno.
Questa campagna esemplifica la natura persistente di alcune minacce allineate allo stato e l’impegno umano che sono disposti a condurre a sostegno delle operazioni di spionaggio. Anche se prendere di mira gli appaltatori della difesa non è una novità per TA456, questa campagna stabilisce in modo univoco il gruppo come uno dei più determinati attori di minacce allineati all’Iran monitorati da Proofpoint a causa del suo uso significativo del social engineering, della comunicazione multipiattaforma e della persistenza generale.
“Marcella (Marcy) Flores” stava conversando con l’impiegato aerospaziale preso di mira almeno da novembre 2020 ed era amico sui social media almeno dal 2019. Oltre all’account Gmail utilizzato per il tentativo di consegna del malware, Marcella ha mantenuto un profilo Facebook ora sospeso
La ricerca open source indica che “Marcella” ha interagito con il target di TA456 sui social media a partire dalla fine del 2019. La prima foto del profilo Facebook di “Marcella” disponibile pubblicamente è stata caricata il 30 maggio 2018. L’analisi di Proofpoint indica che il profilo ha forti somiglianze con profili fittizi precedentemente utilizzato dagli APT iraniani per progettare socialmente obiettivi di valore di intelligence. Il profilo di “Marcella” sembrava essere amico di più individui che si identificano pubblicamente come dipendenti dell’appaltatore della difesa e che sono geograficamente dispersi dalla presunta posizione di “Marcella” a Liverpool, nel Regno Unito. Il 15 luglio 2021, Facebook ha annunciato di aver interrotto una rete di personaggi Facebook e Instagram, tra cui “Marcella”, che hanno attribuito all’attore iraniano»