В середине мая 2023 года TA453 - также известный под именами Charming Kitten, APT42, Mint Sandstorm, Yellow Garuda - отправил замануху, маскирующуюся под старшего научного сотрудника Королевского института объединенных служб (RUSI), на контактный адрес в СМИ эксперта по ядерной безопасности в американском аналитическом центре, занимающемся иностранными делами.
В письме содержался запрос на отзывы о проекте под названием "Иран в контексте глобальной безопасности" и просьба разрешить отправить проект на рассмотрение. В первоначальном письме также упоминалось участие других известных экспертов по ядерной безопасности, под которых TA453 ранее маскировалась, а также предлагался гонорар.
В конечном итоге TA453 использовал различных провайдеров облачного хостинга для доставки новой цепочки заражения, которая использовала недавно обнаруженный PowerShell-бэкдор GorjolEcho. Когда представилась возможность, TA453 портировал свою вредоносную программу и попытался запустить цепочку заражения со вкусом Apple, названную компанией Proofpoint NokNok. TA453 также использовал мультиперсональную имперсонацию в своем непрекращающемся шпионаже.
- TA453 продолжает адаптировать свой арсенал вредоносных программ, внедряя новые типы файлов и нацеливаясь на новые операционные системы, в частности, отправляя вредоносные программы для Mac одной из своих недавних целей.
- В мае 2023 года TA453 начал развертывать цепочки заражения LNK вместо документов Microsoft Word с макросами.
- Независимо от цепочки заражения, TA453 продолжает работать над достижением своих конечных целей - несанкционированной разведки.
- Компания Proofpoint работала с ключевыми партнерами в оборонительном сообществе, чтобы пресечь усилия TA453.
Indicators of Compromise
IPv4
- 144.217.129.176
Domains
- filemanager.theworkpc.com
- fuschia-rhinestone.cleverapps.io
- library-store.camdvr.org
SHA256
- 1fb7f1bf97b72379494ea140c42d6ddd53f0a78ce22e9192cfba3bae58251da4
- 464c5cd7dd4f32a0893b9fff412b52165855a94d193c08b114858430c26a9f1d
- 5dc7e84813f0dae2e72508d178aed241f8508796e59e33da63bd6b481f507026
- acfa8a5306b702d610620a07040262538dd59820d5a42cf01fd9094ce5c3487c
- b6916b5980e79a2d20b4c433ad8e5e34fe9683ee61a42b0730effc6f056191eb
- ddead6e794b72af26d23065c463838c385a8fdff9fb1b8940cd2c23c3569e43b
- e98afa8550f81196e456c0cd4397120469212e190027e33a1131f602892b5f79