Vom Iran unterstütztes Unternehmen Charming Kitten veranstaltet gefälschte Webinar-Plattform, um Ziele zu täuschen

Konflikte im Nahen Osten, in der Ukraine und anderen Regionen mit schwelenden geopolitischen Spannungen haben Politikexperten zum jüngsten Ziel von Cyberoperationen staatlich geförderter Gruppen gemacht. 

Eine mit dem Iran verbundene Gruppe – bekannt als Charming Kitten, CharmingCypress und APT42 – hat kürzlich Politikexperten für den Nahen Osten in der Region sowie in den USA und Europa ins Visier genommen und dabei eine gefälschte Webinar-Plattform genutzt, um ihre Zielopfer, das Incident-Response-Services-Unternehmen Volexity, zu kompromittieren heißt es in einem in diesem Monat veröffentlichten Advisory.

Charming Kitten ist bekannt für seine umfangreichen Social-Engineering-Taktiken, darunter langsame Social-Engineering-Angriffe gegen Denkfabriken und Journalisten, um politische Informationen zu sammeln, erklärte das Unternehmen. 

Die Gruppe täuscht ihre Ziele häufig dazu vor, mit Trojanern manipulierte VPN-Anwendungen zu installieren, um Zugriff auf die gefälschte Webinar-Plattform und andere Websites zu erhalten, was zur Installation von Malware führt. Insgesamt hat die Gruppe das langjährige Vertrauensspiel angenommen, sagt Steven Adair, Mitbegründer und Präsident von Volexity.

„Ich weiß nicht, ob das unbedingt anspruchsvoll und fortgeschritten ist, aber es ist ein großer Aufwand“, sagt er. „Er ist um ein Vielfaches fortschrittlicher und ausgefeilter als ein durchschnittlicher Angriff. Es ist ein Maß an Anstrengung und Hingabe … das ist definitiv anders und ungewöhnlich … so viel Aufwand für eine so spezifische Reihe von Angriffen zu betreiben.“

Geopolitische Experten im Fadenkreuz

Politikexperten geraten häufig ins Visier nationalstaatlicher Gruppen. Der Mit Russland verbundene ColdRiver-GruppeBeispielsweise hat es Nichtregierungsorganisationen, Militäroffiziere und andere Experten ins Visier genommen, die Social Engineering nutzten, um das Vertrauen des Opfers zu gewinnen, und dann mit einem bösartigen Link oder Malware nachgingen. In Jordanien kam es zu gezielter Ausbeutung – Berichten zufolge durch Regierungsbehörden – nutzte das Spyware-Programm Pegasus Entwickelt von der NSO Group und richtete sich an Journalisten, Anwälte für digitale Rechte und andere Politikexperten. 

Auch andere Unternehmen haben die Taktiken von Charming Kitten/CharmingCypress beschrieben. In einer Januar-Beratung heißt es: Microsoft warnte dass die Gruppe, die sie Mint Sandstorm nennt, Journalisten, Forscher, Professoren und andere Experten ins Visier genommen hatte, die sich mit Sicherheits- und Politikthemen befassten, die für die iranische Regierung von Interesse waren.

„Betreiber dieser Untergruppe von Mint Sandstorm sind geduldige und hochqualifizierte Social Engineers, deren Handwerkskunst viele der Merkmale vermissen lässt, die es Benutzern ermöglichen, Phishing-E-Mails schnell zu identifizieren“, erklärte Microsoft. „In einigen Fällen dieser Kampagne nutzte diese Untergruppe auch legitime, aber manipulierte Konten, um Phishing-Köder zu versenden.“

Die Gruppe ist seit mindestens 2013 aktiv starke Verbindungen zum Korps der Islamischen Revolutionsgarde (IRGC), und war laut der Cybersicherheitsfirma CrowdStrike nicht direkt am cyber-operativen Aspekt des Konflikts zwischen Israel und der Hamas beteiligt. 

„Anders als im Russland-Ukraine-Krieg, wo bekannte Cyberoperationen direkt zum Konflikt beigetragen haben, haben die am Israel-Hamas-Konflikt Beteiligten nicht direkt zu den Militäroperationen der Hamas gegen Israel beigetragen“, erklärte das Unternehmen in seiner „2024 Global Threat“. Report“ veröffentlicht am 21. Februar.

Mit der Zeit eine Beziehung aufbauen

Diese Angriffe beginnen in der Regel mit Spear-Phishing und enden mit einer Kombination von Malware, die auf das System des Ziels übertragen wird, heißt es ein Hinweis von Volexity, die die Gruppe CharmingCypress nennt. Im September und Oktober 2023 nutzte CharmingCypress eine Reihe von durch Tippfehler besetzten Domains – Adressen, die legitimen Domains ähneln –, um sich als Beamte des International Institute of Iranian Studies (IIIS) auszugeben und Politikexperten zu einem Webinar einzuladen. Die erste E-Mail demonstrierte den langsamen Ansatz von CharmingCypress, der auf böswillige Links oder Anhänge verzichtet und den anvisierten Fachmann dazu einlädt, über andere Kommunikationskanäle wie WhatsApp und Signal Kontakt aufzunehmen. 

Durch tiefgreifendes Spearphishing will CharmingCypress Politikexperten davon überzeugen, Malware zu installieren. Quelle: Volexity

Die Angriffe zielen auf Nahost-Politikexperten weltweit ab, wobei Volexity die meisten Angriffe gegen europäische und US-amerikanische Fachleute verübt, sagt Adair.

„Sie sind ziemlich aggressiv“, sagt er. „Sie bauen sogar ganze E-Mail-Ketten oder ein Phishing-Szenario auf, in dem sie nach Kommentaren suchen, und andere Personen – vielleicht drei, vier oder fünf Personen in diesem E-Mail-Thread mit Ausnahme der Zielperson – versuchen es auf jeden Fall.“ um eine Beziehung aufzubauen.“

Der lange Betrüger liefert schließlich eine Nutzlast. Volexity identifizierte fünf verschiedene Malware-Familien, die mit der Bedrohung in Zusammenhang stehen. Die PowerLess-Hintertür wird von der Windows-Version der mit Malware beladenen VPN-Anwendung (Virtual Private Network) installiert, die PowerShell verwendet, um die Übertragung und Ausführung von Dateien zu ermöglichen, bestimmte Daten auf dem System gezielt anzusprechen, Tastenanschläge zu protokollieren und Screenshots zu erstellen . Eine macOS-Version der Malware heißt NokNok, während eine separate Malware-Kette, die ein RAR-Archiv und einen LNK-Exploit nutzt, zu einer Hintertür namens Basicstar führt.

Die Verteidigung wird schwieriger

Der Social-Engineering-Ansatz der Gruppe verkörpert definitiv den „Persistenz“-Teil der Advanced Persistent Threat (APT). Volexity sieht eine „konstante Flut“ von Angriffen, daher müssen Politikexperten noch misstrauischer gegenüber Kaltkontakten werden, sagt Adair.

Dies werde schwierig sein, da viele Politikexperten als Akademiker in ständigem Kontakt mit Studenten oder Mitgliedern der Öffentlichkeit stünden und es nicht gewohnt seien, mit ihren Kontakten streng umzugehen, sagt er. Dennoch sollten sie auf jeden Fall darüber nachdenken, bevor sie Dokumente öffnen oder Zugangsdaten auf einer Website eingeben, die über einen unbekannten Link erreicht wird.

„Letztendlich müssen sie die Person dazu bringen, auf etwas zu klicken oder etwas zu öffnen. Wenn ich möchte, dass Sie eine Arbeit oder ähnliches rezensieren, bedeutet das, dass Sie bei Links und Dateien sehr vorsichtig sein müssen“, sagt Adair. „Wenn ich zu irgendeinem Zeitpunkt meine Zugangsdaten eingeben oder etwas autorisieren muss, sollte das ein großes Warnsignal sein. Wenn ich aufgefordert werde, etwas herunterzuladen, sollte das ebenfalls ein ziemlich großes Warnsignal sein.“

Darüber hinaus müssen Politikexperten verstehen, dass CharmingCypress sie weiterhin ins Visier nehmen wird, selbst wenn seine Versuche scheitern, erklärte Volexity. 

„Dieser Bedrohungsakteur ist sehr darauf bedacht, seine Ziele zu überwachen, um herauszufinden, wie er sie am besten manipulieren und Malware einsetzen kann“, erklärte das Unternehmen in seiner Empfehlung. „Darüber hinaus haben nur wenige andere Bedrohungsakteure kontinuierlich so viele Kampagnen durchgeführt wie CharmingCypress und stellen menschliche Bediener zur Unterstützung ihrer laufenden Bemühungen zur Verfügung.“

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
• PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
• PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
• PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
• Quelle: https://www.darkreading.com/vulnerabilities-threats/iran-backed-charming-kitten-stages-fake-webinar-platform-to-ensnare-targets