Konflikter i Mellemøsten, Ukraine og andre områder med ulmende geopolitiske spændinger har gjort politiske eksperter til det seneste mål for cyberoperationer udført af statssponsorerede grupper.
En Iran-tilknyttet gruppe - kendt som Charming Kitten, CharmingCypress og APT42 - målrettede for nylig Mellemøsten-politiske eksperter i regionen såvel som i USA og Europa ved at bruge en falsk webinar-platform til at kompromittere sine målrettede ofre, Incident Response Service-firmaet Volexity Det fremgår af en meddelelse offentliggjort i denne måned.
Charming Kitten er velkendt for sine omfattende sociale ingeniør-taktik, herunder lav-og-langsomme sociale ingeniørangreb mod tænketanke og journalister for at indsamle politisk efterretning, udtalte firmaet.
Gruppen duper ofte er mål til at installere trojansk riggede VPN-applikationer for at få adgang til den falske webinarplatform og andre websteder, hvilket resulterer i installation af malware. Samlet set har gruppen taget det lange selvtillidsspil til sig, siger Steven Adair, medstifter og præsident for Volexity.
"Jeg ved ikke, om det nødvendigvis er sofistikeret og avanceret, men det er en stor indsats," siger han. "Det er mere avanceret og mere sofistikeret end dit gennemsnitlige angreb med en betydelig margin. Det er et niveau af indsats og dedikation … som bestemt er anderledes og ualmindeligt … at gøre så meget for et så specifikt sæt af angreb.”
Geopolitiske eksperter i trådkorset
Politikeksperter er ofte målrettet af nationalstatsgrupper. Det Rusland-forbundet ColdRiver gruppehar for eksempel rettet mod ikke-statslige organisationer, militærofficerer og andre eksperter, der bruger social engineering for at vinde offerets tillid og derefter følge op med et ondsindet link eller malware. I Jordan, målrettet udnyttelse - angiveligt af regeringsorganer - brugte Pegasus spyware-programmet udviklet af NSO-gruppen og målrettet journalister, advokater om digitale rettigheder og andre politiske eksperter.
Andre firmaer har også beskrevet Charming Kitten/CharmingCypress' taktik. I en rådgivning fra januar Microsoft advarede at gruppen, som den kalder Mint Sandstorm, havde målrettet journalister, forskere, professorer og andre eksperter, der dækkede sikkerheds- og politiske emner af interesse for den iranske regering.
"Operatører tilknyttet denne undergruppe af Mint Sandstorm er tålmodige og yderst dygtige sociale ingeniører, hvis håndværk mangler mange af de kendetegn, der tillader brugere hurtigt at identificere phishing-e-mails," udtalte Microsoft. "I nogle tilfælde af denne kampagne brugte denne undergruppe også legitime, men kompromitterede konti til at sende phishing-lokker."
Gruppen har været aktiv siden mindst 2013, har stærke forbindelser til Islamic Revolutionary Guard Corps (IRGC), og har ikke været direkte involveret i det cyberoperative aspekt af konflikten mellem Israel og Hamas, ifølge cybersikkerhedsfirmaet CrowdStrike.
"I modsætning til i krigen mellem Rusland og Ukraine, hvor kendte cyberoperationer direkte har bidraget til konflikten, har de involverede i Israel-Hamas-konflikten ikke direkte bidraget til Hamas' militære operationer mod Israel," udtalte virksomheden i sin "2024 Global Threat". Rapport” udgivet den 21. februar.
Opbygning af rapport over tid
Disse angreb starter normalt med spear-phishing og slutter med en kombination af malware leveret til målets system, ifølge en rådgivning fra Volexity, som kalder gruppen CharmingCypress. I september og oktober 2023 brugte CharmingCypress en række typo-squatted domæner - adresser svarende til legitime domæner - til at posere som embedsmænd fra International Institute of Iranian Studies (IIIS) for at invitere politiske eksperter til et webinar. Den første e-mail demonstrerede CharmingCypress' lav-og-langsomme tilgang, undgik ethvert ondsindet link eller vedhæftet fil og inviterede den målrettede professionelle til at nå ud gennem andre kommunikationskanaler, såsom WhatsApp og Signal.
Ved at bruge dybdegående spearphishing sigter CharmingCypress på at overbevise politiske eksperter om at installere malware. Kilde: Volexity
Angrebene er rettet mod Mellemøstens politiske eksperter verden over, hvor Volexity støder på et flertal af angreb mod europæiske og amerikanske fagfolk, siger Adair.
"De er ret aggressive," siger han. "De vil endda oprette hele e-mail-kæder eller et phishing-scenarie, hvor de leder efter kommentarer, og der er andre mennesker - måske tre, fire eller fem personer på den e-mail-tråd med undtagelse af målet - de prøver bestemt at opbygge relationer."
Den lange con leverer til sidst en nyttelast. Volexity identificerede fem forskellige malware-familier forbundet med truslen. PowerLess-bagdøren installeres af Windows-versionen af den malware-ladede virtuelle private netværk (VPN), som bruger PowerShell til at tillade filer at blive overført og eksekveret, samt målrette specifikke data på systemet, logge tastetryk og tage skærmbilleder . En macOS-version af malwaren kaldes NokNok, mens en separat malwarekæde, der bruger et RAR-arkiv og LNK-udnyttelse, fører til en bagdør ved navn Basicstar.
At forsvare bliver sværere
Gruppens tilgang til social engineering inkarnerer absolut "persistens"-delen af den avancerede vedvarende trussel (APT). Volexity ser en "konstant spærreild" af angreb, så politiske eksperter er nødt til at blive endnu mere mistænksomme over for kolde kontakter, siger Adair.
Det vil være svært at gøre det, da mange politiske eksperter er akademikere i konstant kontakt med studerende eller medlemmer af offentligheden og ikke er vant til at være strenge med deres kontakter, siger han. Alligevel bør de bestemt tænke sig om, før de åbner dokumenter eller indtaster legitimationsoplysninger på et websted, der nås via et ukendt link.
"I slutningen af dagen skal de få personen til at klikke på noget eller åbne noget, hvilket, hvis jeg vil have dig til at gennemgå et papir eller sådan noget, betyder ... at være meget på vagt over for links og filer," siger Adair. "Hvis jeg skal indtaste mine legitimationsoplysninger på et hvilket som helst tidspunkt eller godkende noget - det burde være et stort rødt flag. På samme måde, hvis jeg bliver bedt om at downloade noget, burde det være et ret stort rødt flag."
Derudover skal politiske eksperter forstå, at CharmingCypress vil fortsætte med at målrette dem, selvom dens forsøg mislykkes, sagde Volexity.
"Denne trusselsaktør er meget engageret i at udføre overvågning af deres mål for at bestemme, hvordan man bedst kan manipulere dem og implementere malware," udtalte virksomheden i sin rådgivning. "Derudover har få andre trusselsaktører konsekvent fremsat så mange kampagner som CharmingCypress, og dedikeret menneskelige operatører til at støtte deres igangværende indsats."
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
- PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
- PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
- PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
- Kilde: https://www.darkreading.com/vulnerabilities-threats/iran-backed-charming-kitten-stages-fake-webinar-platform-to-ensnare-targets
- :har
- :er
- :ikke
- :hvor
- $OP
- 2013
- 2023
- 2024
- 7
- 9
- a
- akademikere
- adgang
- Ifølge
- Konti
- aktiv
- aktører
- Desuden
- Derudover
- adresser
- fremskreden
- rådgivende
- mod
- agenturer
- aggressive
- målsætninger
- tillade
- også
- an
- ,
- enhver
- Anvendelse
- applikationer
- tilgang
- APT
- Arkiv
- ER
- områder
- AS
- udseende
- forbundet
- At
- angribe
- Angreb
- Forsøg på
- bemyndige
- gennemsnit
- bagdør
- spærreild
- BE
- bliver
- bliver
- været
- før
- være
- BEDSTE
- mellem
- Big
- bygge
- Bygning
- men
- by
- Opkald
- Kampagne
- Kampagner
- Optagelse
- kæde
- kæder
- kanaler
- klik
- Medstifter
- forkølelse
- kombination
- KOMMENTAR
- engageret
- Kommunikation
- Virksomheder
- selskab
- kompromis
- Kompromitteret
- gennemført
- udførelse
- tillid
- konflikt
- konsekvent
- konstant
- kontakt
- kontakter
- fortsæt
- bidrog
- overbevise
- korps
- dækker
- Legitimationsoplysninger
- sigtekornet
- Cyber
- Cybersecurity
- data
- dag
- dedikation
- Forsvar
- definitivt
- leveret
- leverer
- demonstreret
- indsætte
- beskrevet
- Bestem
- udviklet
- forskellige
- svært
- direkte
- dokumenter
- Domæner
- Don
- downloade
- døbt
- Øst
- indsats
- indsats
- emails
- legemliggør
- omfavnede
- støder på
- ende
- Engineering
- Ingeniører
- Indtast
- indtastning
- Hele
- Europa
- europæisk
- Endog
- til sidst
- eksempel
- undtagelse
- henrettet
- eksperter
- Exploit
- udnyttelse
- omfattende
- FAIL
- falsk
- familier
- februar
- få
- Filer
- Firm
- fem
- flow
- efter
- Til
- fire
- hyppigt
- fra
- Gevinst
- spil
- samle
- geopolitiske
- få
- Global
- Go
- Regering
- regeringsorganer
- gruppe
- Gruppens
- Guard
- havde
- Hamas
- Have
- he
- stærkt
- Hvordan
- HTTPS
- menneskelig
- i
- identificeret
- identificere
- if
- billede
- in
- dybdegående
- hændelse
- hændelsesrespons
- Herunder
- initial
- installere
- installation
- installeret
- installation
- Institut
- Intelligens
- interesse
- internationalt
- ind
- invitere
- indbydende
- involverede
- iransk
- Islamic
- israel
- IT
- ITS
- januar
- Jordan
- Journalister
- Kend
- kendt
- seneste
- Advokater
- Leads
- mindst
- legitim
- Niveau
- ligesom
- LINK
- links
- ll
- logning
- Lang
- leder
- Lot
- MacOS
- lavet
- større
- Flertal
- ondsindet
- malware
- mange
- Margin
- kan være
- midler
- Medlemmer
- microsoft
- Mellemøsten
- Middle East
- Militær
- mynte
- Måned
- mere
- meget
- my
- Som hedder
- nødvendigvis
- Behov
- netværk
- ikke-statslige
- nummer
- oktober
- of
- officerer
- embedsmænd
- tit
- on
- igangværende
- åbent
- åbning
- Produktion
- Operatører
- or
- ordrer
- organisationer
- Andet
- ud
- i løbet af
- samlet
- Papir
- patient
- Pegasus
- Mennesker
- udholdenhed
- person,
- Phishing
- falsk
- stykke
- perron
- plato
- Platon Data Intelligence
- PlatoData
- Punkt
- politik
- politisk
- udgør
- PowerShell
- præsident
- smuk
- private
- professionel
- professionelle partnere
- offentlige
- offentliggjort
- hurtigt
- helt
- RE
- nå
- nået
- for nylig
- Rød
- region
- frigivet
- indberette
- efter sigende
- forskere
- svar
- resulterer
- gennemgå
- revolutionerende
- Rusland-Ukraine krig
- s
- siger
- scenarie
- screenshots
- sikkerhed
- Sees
- send
- adskille
- september
- Tjenester
- sæt
- bør
- Signal
- signifikant
- lignende
- Tilsvarende
- siden
- websted
- Websteder
- faglært
- So
- Social
- Samfundsteknologi
- nogle
- noget
- sofistikeret
- Kilde
- specifikke
- Sponsoreret
- spyware
- etaper
- starte
- erklærede
- steven
- Streng
- Studerende
- undersøgelser
- sådan
- support
- overvågning
- mistænksom
- systemet
- taktik
- tanke
- mål
- målrettet
- rettet mod
- mål
- spændinger
- end
- at
- deres
- Them
- derefter
- Der.
- de
- tror
- denne
- dem
- trussel
- trusselsaktører
- Trusselsrapport
- tre
- Gennem
- tid
- til
- Emner
- overført
- forsøger
- Ukraine
- Ualmindelig
- forstå
- ukendt
- I modsætning til
- us
- anvendte
- brugere
- bruger
- ved brug af
- sædvanligvis
- udgave
- meget
- Victim
- ofre
- Virtual
- VPN
- ønsker
- krig
- webinar
- GODT
- som
- mens
- hvis
- vilje
- vinduer
- med
- verdensplan
- endnu
- Du
- Din
- zephyrnet
