Cuatro campañas patrocinadas por el estado dirigidas a periodistas

En los últimos años, las organizaciones mediáticas y los periodistas han sido cada vez más objetivo de actores avanzados de amenazas persistentes patrocinados por el estado con un claro propósito: obtener acceso a su información confidencial, espiar sus actividades o incluso identificar sus fuentes. Además, las cuentas comprometidas de los periodistas también pueden ser utilizadas para difundir desinformación o propaganda a favor del estado.

El correo electrónico es el vector de infección inicial que se utiliza con mayor frecuencia, pero los actores de amenazas también apuntan a las cuentas de redes sociales.

VER: Violación de contraseñas: por qué la cultura popular y las contraseñas no se mezclan (PDF gratuito) (Newsmatic)

Una nueva publicación de Proofpoint expone varios de estos ataques dirigidos en un intento de crear conciencia.

Cuatro campañas patrocinadas por el estado contra periodistas

TA412 y TA459 de China

Zirconium, un actor de amenazas también conocido como TA412, ha estado atacando a periodistas estadounidenses desde 2021. Este actor, alineado con los intereses estatales chinos, a menudo utiliza correos electrónicos para atacar a las personas con web beacons antes de comprometerlas completamente.

Los web beacons, también conocidos como píxeles de seguimiento, son objetos invisibles dentro de un correo electrónico diseñado en HTML que recuperan discretamente un archivo de imagen benigno desde un servidor controlado por el atacante. De esta manera, el atacante puede recopilar información sobre el visitante, como su dirección IP externa, su agente de usuario y su dirección de correo electrónico, para validar que la cuenta de usuario está activa.

Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel

A partir de 2021, TA412 lanzó al menos cinco campañas dirigidas a periodistas estadounidenses que cubrían política estadounidense y seguridad nacional durante eventos como el ataque al Capitolio el 6 de enero.

En agosto de 2021, el actor de amenazas lanzó una vez más una campaña de ataque, esta vez dirigida a periodistas especializados en ciberseguridad, vigilancia y privacidad relacionados con China.

En 2022, el actor de amenazas se dirigió a periodistas que informaban sobre el compromiso estadounidense y europeo en la anticipada guerra ruso-ucraniana.

Mientras tanto, el actor de amenazas TA459 atacó a empleados de medios con correos electrónicos que contenían un archivo RTF malicioso. Una vez abierto, se instalaría y ejecutaría un malware conocido como Chinoxy.

TA404 de Corea del Norte

A principios de 2022, el actor de amenazas TA404, también conocido como Lazarus, creó páginas falsas de ofertas de trabajo diseñadas para parecerse a un sitio web de publicación de empleo de marca en una campaña llamada Operación Dream Job (Figura A).

Figura A

Cómo proteger tu computadora de los virus: métodos y consejos

Se enviaron enlaces a estas páginas a objetivos estadounidenses pertenecientes a una organización mediática que había publicado un artículo crítico sobre el líder norcoreano Kim Jong-un.

Un kit de explotación comprometería a los visitantes con malware y proporcionaría acceso al dispositivo comprometido.

TA482 de Turquía

TA482 es un actor de amenazas que apunta a las cuentas de redes sociales de periodistas estadounidenses y organizaciones mediáticas. Según Proofpoint, este actor se alinea con los intereses estatales turcos.

A principios de 2022, TA482 utilizó ingeniería social para enviar un correo electrónico supuestamente desde el Centro de Seguridad de Twitter, advirtiendo al usuario sobre una conexión sospechosa (Figura B).

Figura B

Al hacer clic en el enlace proporcionado, el objetivo sería redirigido a una página de recolección de credenciales que se hacía pasar por Twitter.

¡Defiéndete! Protege tu seguridad en línea contra amenazas críticas

TA453, TA456 y TA457 de Irán

TA453, también conocido como Charming Kitten, habitualmente se hace pasar por periodistas de todo el mundo. Este actor de amenazas inicia conversaciones inofensivas con sus objetivos, que son principalmente académicos y expertos en política que trabajan en asuntos exteriores de Medio Oriente. La conversación generalmente fomenta un mayor diálogo al despertar el interés del objetivo y mostrar conocimiento sobre su trabajo.

Si la víctima no responde, TA453 seguirá contactando al objetivo o lo invitará a una reunión virtual para tener más discusiones. El objetivo de la campaña es obtener las credenciales del objetivo dirigiéndolo a un dominio de recolección de credenciales controlado por el actor de amenazas.

TortoiseShell, también conocido como TA456, es otro actor de Irán que ataca a organizaciones mediáticas a través de otras campañas de ataque. El actor de amenazas se dirige a los usuarios con correos electrónicos de boletines que contienen web beacons antes de comprometer a estos usuarios mediante la infección de malware.

TA457 se hace pasar por un reportero de iNews para entregar malware a personas responsables de relaciones públicas en empresas estadounidenses, israelíes y sauditas. Entre septiembre de 2021 y marzo de 2022, el actor de amenazas realizó campañas de ataque aproximadamente cada dos o tres semanas, apuntando a direcciones de correo electrónico genéricas e individuales en estas organizaciones mediáticas.

Protege tus contraseñas con PAM: Tu aliado para la seguridad

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Cuatro campañas patrocinadas por el estado dirigidas a periodistas , tenemos lo ultimo en tecnología 2023.