Angriparna bygger en långsiktig relation innan de slår till

logo

Av Kaj Johnson

2023-11-22

En förklädd angripare

En anställd inom försvarsidustrin blev vän med ”Marcella Flores” på Facebook 2019.

Men, det visade sig senare att ”Marcella Flores” inte existerade – det var en falsk profil skapad av TA456, en statlig iransk angripare, som tillbringade flera år med att utge sig för att vara ”Marcella (Marcy) Flores” och bygga förtroende och trovärdighet.

Syftet var att infektera offrets dator med skadlig programvara, malware.

Klicka på   för att se utvecklingen på tidslinjen.

2018
2019
2020
2021
”Marcella Flores” skapar en profil på Facebook
”Marcella Flores” skapar en profil på Facebook

Profilen verkade vara vän med flera individer som offentligt identifierat sig som anställda inom försvarsindustrin och som var geografiskt spridda från ”Marcellas” påstådda plats i Liverpool, Storbritannien.

”Marcella Flores” blir vän med en anställd inom försvarsindustrin.
”Marcella Flores” blir vän med en anställd inom försvarsindustrin.

”Marcella” skapar en relation och bygger upp ett förtroende via företags- och personliga kommunikationsplattformar med en anställd i ett litet dotterbolag till flygförsvarsindustrin.

”Marcella Flores” kommunicerar med offret
”Marcella Flores” kommunicerar med offret

Under minst åtta månader skickade ”Marcella Flores” e-postmeddelanden, fotografier, videos samt en flirtig video via en OneDrive-URL.

”Marcella” slår till
”Marcella” slår till

I juni 2021 skickar ”Marcella” ett mail med en OneDrive-länk för en dietundersökning i Excel men som i verkligheten innehåller malware.

Facebook stänger ”Marcella”-profilen
Facebook stänger ”Marcella”-profilen

Facebook meddelar att de har stängt ned ett nätverk av Facebook- och Instagram-profiler, inklusive ”Marcella’s”, alla skapade av den statliga-iranske aktören TA456.

Den skadliga programvaran, kallad LEMPO av Proofpoint, var designad för att infektera, utföra spaning och exfiltrera känslig information.

TA456 riktade sig mot mindre dotterbolag och konsulter för att angripa större försvarsföretag med hjälp av en ”supply-chain” attack.

TA456 tros vara löst ansluten till Islamic Revolutionary Guard Corps (IRGC) via associering med det iranska företaget Mahak Rayan Afraz (MRA), enligt Facebooks analys.

Händelsen visar att det är viktigt att vara vaksam vid engagemang med okända individer oavsett om det är via jobb eller via personliga konton.

Denna angreppsmetod har även rapporterats av olika säkerhetsföretag, t.ex. Experten varnar för ny nätfiskevåg – ”övervakar mejlen i veckor” och How To Fight Long-Game Social Engineering

Ytterligare ett exempel på denna angreppsmetod är en artikel från ”CBS News” som beskriver hur en pensionerad f.d. löjtnant i US Army arresterades 2024-03-02 för att ha avslöjat topp-hemliga uppgifter till en ”kvinna” från Ukraina.

Källa: Proofpoint: I Knew You Were Trouble