Campanhas de ciberespionagem patrocinadas pelo Estado continuam visando jornalistas e meios de comunicação

Os jornalistas têm informações que os tornam particularmente interessantes para os agentes de ameaças de ciberespionagem patrocinadas pelo Estado. Saiba mais sobre essas ameaças agora.

Nos últimos anos, organizações de mídia e jornalistas têm sido cada vez mais visados ​​por agentes avançados de ameaças persistentes patrocinados pelo Estado com um objetivo claro: obter o a suas informações confidenciais, espionar suas atividades ou até mesmo identificar suas fontes. Além disso, contas de jornalistas comprometidas também podem ser usadas para espalhar desinformação ou propaganda pró-Estado.

O e-mail é o vetor de infecção inicial usado com mais frequência, mas os agentes de ameaças também têm como alvo as contas de mídia social.

VEJO: Violação de senha: por que cultura pop e senhas não se misturam (PDF grátis) (TechRepublic)

Uma nova publicação da Proofpoint expõe vários desses ataques direcionados em uma tentativa de aumentar a conscientização.

Quatro campanhas patrocinadas pelo Estado contra jornalistas

TA412 e TA459 da China

O Zircônio, um agente de ameaças também conhecido como TA412, tem como alvo jornalistas americanos desde 2021. O agente, alinhado aos interesses do Estado chinês, costuma usar e-mails para atingir pessoas com web beacons antes de comprometê-las totalmente.

Web beacons, também conhecidos como pixels de rastreamento, são objetos invisíveis em um email criado em HTML que recuperam discretamente um arquivo de imagem benigno de um servidor de propriedade do invasor. Dessa forma, o invasor pode coletar informações sobre o visitante, como seu endereço IP externo, seu agente de usuário e seu endereço de e-mail para validar que a conta de usuário está ativa.

A partir de 2021, a TA412 lançou pelo menos cinco campanhas direcionadas a jornalistas americanos que cobriam a política e a segurança nacional dos EUA durante eventos como o ataque em 6 de janeiro ao Capitólio.

Em agosto de 2021, o ator da ameaça mais uma vez lançou uma campanha de ataque, desta vez visando jornalistas com problemas de segurança cibernética, vigilância e privacidade com foco na China.

Em 2022, o agente da ameaça mirou jornalistas que relatavam o envolvimento americano e europeu na antecipada Guerra Russo-Ucraniana.

Enquanto isso, o agente de ameaças TA459 visava funcionários de mídia com e-mails contendo um anexo RTF malicioso. Uma vez aberto, ele instalaria e executaria um malware conhecido como Chinoxy.

TA404 da Coreia do Norte

No início de 2022, o ator de ameaças TA404, também conhecido como Lazarus, criou páginas de ofertas de emprego falsas projetadas para parecer um site de anúncio de emprego de marca em uma campanha chamada Operation Dream Job (Figura A).

Figura A

Links para essas páginas foram enviados para alvos americanos pertencentes a uma organização de mídia que publicou um artigo que criticava o líder norte-coreano Kim Jong-un.

Um kit de exploração comprometeria os visitantes com malware e forneceria o ao dispositivo comprometido.

TA482 da Turquia

O TA482 é um agente de ameaças que tem como alvo as contas de mídia social de jornalistas e organizações de mídia americanas. De acordo com a Proofpoint, o ator da ameaça se alinha aos interesses do estado turco.

No início de 2022, TA482 usou engenharia social para enviar um e-mail supostamente da Central de Segurança do Twitter, alertando o usuário sobre uma conexão suspeita (Figura B).

Figura B

Clicar no link fornecido levaria o alvo a uma página de coleta de credenciais representando o Twitter.

TA453, TA456 e TA457 do Irã

TA453, também conhecido como Charming Kitten, rotineiramente se disfarça de jornalistas de todo o mundo. O agente da ameaça inicia conversas benignas com seus alvos, que são principalmente acadêmicos e especialistas em políticas que trabalham em relações exteriores do Oriente Médio. A conversa geralmente encoraja mais diálogo, despertando o interesse do alvo e mostrando um conhecimento de seu trabalho.

Caso a vítima não responda, o TA453 continuará contatando o alvo ou o convidará para uma reunião virtual para discutir mais. O objetivo da campanha é obter as credenciais do alvo, levando-o a um domínio de coleta de credenciais controlado pelo agente da ameaça.

TortoiseShell, também conhecido como TA456, é outro ator do Irã que tem como alvo organizações de mídia por meio de outras campanhas de ataque. O agente da ameaça visa os usuários com e-mails de boletim informativo contendo web beacons antes de comprometer esses usuários por meio de infecção por malware.

TA457 se disfarça de repórter do iNews para entregar malware a pessoas responsáveis ​​por relações públicas em empresas americanas, israelenses e sauditas. Entre setembro de 2021 e março de 2022, o agente da ameaça executou campanhas de ataque aproximadamente a cada duas ou três semanas, visando endereços de e-mail genéricos e individuais nessas organizações de mídia.