ИБ-эксперт близко подобрался к хакерам из Rocket Kitten и стал жертвой фишинговой атаки

Эксперт из ClearSky стал жертвой фишинговой кампании, за которой стоит группировка Rocket Kitten. Причиной послужил проводимый исследователем мониторинг активности хакеров , предположительно работающих по заказу правительства Ирана. Похоже на то, что он слишком близко подобрался к злоумышленникам, из-за чего и подвергся фишинговой атаке.

Группировка Rocket Kitten специализируется на политическом шпионаже , а в число ее жертв входят дипломаты, журналисты, правозащитники, оборонные организации и пр. По данным Trend Micro, большинство атак хакеров нацелены на страны Среднего Востока, и лишь 5% из них приходятся на Европу.

Исследователю из ClearSky удалось выдать себя за человека, который может заинтересовать Rocket Kitten. Сначала хакеры попытались связаться с ним через поддельную учетную запись в Facebook. Не добившись успеха, злоумышленники осуществили фишинговую атаку на одну из своих предыдущих жертв, использовав в качестве отправителя имя исследователя (эксперт ранее работал с этой жертвой). Существуют две возможности – либо Rocket Kitten знала, что находится под наблюдением, либо в руках хакеров оказалась переписка между исследователем и жертвой.

Исследователи проанализировали шаблоны, которых придерживается Rocket Kitten в своей деятельности, и определили ключевые особенности. Как правило, хакеры используют для фишинговых атак поддельные учетные записи в Google Drive и Gmail, выдавая себя за общественного деятеля или личность, интересующую хакеров (например, за израильских инженеров). Для подтверждения подлинности аккаунта злоумышленники используют похищенные документы. Также для того, чтобы непосредственно связаться с жертвой, Rocket Kitten отправляют ей личные сообщения в Facebook.

По данным экспертов, в последнее время увеличилось количество атак на отдельных лиц, а не на организации. В общей сложности ClearSky определили 550 жертв Rocket Kitten.