Proofpoint kan nu visa hur en iranskkopplad hackergrupp kallad TA456 använt en påhittad profil på Facebook och andra plattformar för att skapa relationer med anställda inom försvarsindustrin. Efter att relationerna etablerats försökte gruppen bland annat lura mottagarna att ta del av undersökningar som sedan infekterade deras enheter med skadlig kod.
Den påhittade profilen Marcella ”Marcy” Flores framstod på Facebook som en fitnessinstruktör från Storbritannien. Bakom kulisserna användes dock profilen för att bygga upp relationer med personer anställda inom försvarsindustrin. Det visar en kartläggning från Proofpoint.
Den falska profilen användes både för att skicka flörtiga epostmeddelanden såväl som påhittade undersökningar med skadlig programvara till mottagarna. Målet var att komma över känslig information och inloggningsuppgifter hos företag som var underleverantörer till större företag inom försvarsindustrin.
Påhittad kostundersökning
Under drygt åtta månader skickade den falska Facebookprofilen meddelanden, bilder och filmer för att bygga relationer med sina mottagare. När relationen upprättats skickade ”Marcella Flores” en påhittad kostundersökning till mottagarna. Undersökningen innehöll en skadlig programvara som av Proofpoint kallas LEMPO. Den har möjlighet att övervaka infekterade enheter och skicka information till avsändaren och därefter soppa igen spåren.
– Attacken visar hur uthålliga dessa grupper kan vara i sina försök att komma över information. Den påhittade profilen har varit aktiv i relationsbyggande ända sedan 2019 och byggt relationer med till anställda hos underleverantörer till försvarsindustrin under lång tid, säger Sherrod DeGrippo, ansvarig för säkerhetsforskning på Proofpoint.
Hackergruppen TA456, ibland även kallad Tortoiseshell eller Imperial Kitten, tros vara kopplad till iranska revolutionsgardet via ett iranskt företag kallat Mahak Rayan Afraz. Facebook har nu tagit bort den påhittade profilen som användes i attacken.
