Grupo de ameaça iraniano ITG18 conhecido por ter como alvo empresas farmacêuticas e as campanhas presidenciais dos EUA. A IBM referiu-se ao grupo como ITG18, enquanto as outras empresas de segurança o referem como APT35 ou Charming Kitten.
O grupo está ativo desde 2013, o grupo é conhecido por conduzir sofisticados ataques de phishing.
Vídeo de treinamento exposto
Serviços de inteligência de resposta a incidentes IBM X-Force (IRIS) encontrei um servidor associado aos associados do ITG18 que possuem mais de 40 gigabytes de vídeo de treinamento e outros dados.
Uma falha OPSEC com o operador ITG18 expõe o funcionamento interno dos atores da ameaça e uma forma de ter “uma visão única dos bastidores dos seus métodos e, potencialmente, do seu trabalho braçal para uma operação mais ampla”.
Os vídeos de treinamento focaram principalmente na criação de contas, teste de acesso do operador e exfiltração de dados das contas comprometidas.
Com base nos carimbos de data e hora dos arquivos de vídeo, o vídeo foi gravado aproximadamente um dia antes de ser carregado no servidor operado pelo ITG18.
No vídeo, os operadores explicam “como exfiltrar vários conjuntos de dados associados a essas plataformas, incluindo contatos, fotos e armazenamento em nuvem associado”.
“Algumas das contas de propriedade das operadoras observadas nos vídeos de treinamento forneceram informações adicionais sobre personas associadas ao ITG18, como números de telefone com códigos de países iranianos.”
Os vídeos também contêm tentativas fracassadas de phishing de atingir as contas pessoais de um filantropo iraniano-americano e de funcionários do Departamento de Estado dos EUA.
Os vídeos também expuseram as contas pessoais e os números de telefone iranianos associados às operadoras ITG18.
Com base nos materiais de formação, parece que os operadores procuram recolher informações sociais triviais sobre os indivíduos.
Observação: se os agentes da ameaça se autenticarem com êxito em um site e tiverem autenticação multifator (MFA), eles interromperão o processo e passarão para outras contas.
A descoberta mostra a importância de usar autenticação multifator, redefinir suas senhas periodicamente e usar um gerenciador de senhas.
Você pode nos seguir em Linkedin, Twitter, Facebook para atualizações diárias de notícias sobre segurança cibernética e hackers.
