Γοητευτικό γατάκι που υποστηρίζεται από το Ιράν πραγματοποιεί ψεύτικη πλατφόρμα διαδικτυακού σεμιναρίου για να παγιδεύσει στόχους

Οι συγκρούσεις στη Μέση Ανατολή, την Ουκρανία και άλλες περιοχές των γεωπολιτικών εντάσεων που σιγοβράζουν έχουν καταστήσει τους εμπειρογνώμονες πολιτικής τον τελευταίο στόχο κυβερνοεπιχειρήσεων που διεξάγονται από ομάδες που υποστηρίζονται από το κράτος. 

Μια ομάδα που συνδέεται με το Ιράν - γνωστή ως Charming Kitten, CharmingCypress και APT42 - στόχευσε πρόσφατα εμπειρογνώμονες της πολιτικής της Μέσης Ανατολής στην περιοχή καθώς και στις ΗΠΑ και την Ευρώπη, χρησιμοποιώντας μια ψεύτικη πλατφόρμα διαδικτυακού σεμιναρίου για να θέσει σε κίνδυνο τα στοχευμένα θύματά της, την εταιρεία υπηρεσιών αντιμετώπισης περιστατικών Volexity αναφέρεται σε μια συμβουλευτική που δημοσιεύθηκε αυτόν τον μήνα.

Το Charming Kitten είναι γνωστό για τις εκτεταμένες τακτικές κοινωνικής μηχανικής του, συμπεριλαμβανομένων των χαμηλών και αργών επιθέσεων κοινωνικής μηχανικής εναντίον ομάδων σκέψης και δημοσιογράφων για τη συλλογή πολιτικών πληροφοριών, δήλωσε η εταιρεία. 

Η ομάδα συχνά εξαπατά στόχους για την εγκατάσταση εφαρμογών VPN που έχουν προσαρμόσει σε Trojan για να αποκτήσει πρόσβαση στην ψεύτικη πλατφόρμα διαδικτυακού σεμιναρίου και σε άλλους ιστότοπους, με αποτέλεσμα την εγκατάσταση κακόβουλου λογισμικού. Συνολικά, η ομάδα έχει αγκαλιάσει το μακρύ παιχνίδι εμπιστοσύνης, λέει ο Steven Adair, συνιδρυτής και πρόεδρος της Volexity.

«Δεν ξέρω αν αυτό είναι απαραίτητα περίπλοκο και προηγμένο, αλλά είναι μεγάλη προσπάθεια», λέει. «Είναι πιο προηγμένο και πιο εξελιγμένο από τη μέση επίθεσή σας με σημαντική διαφορά. Είναι ένα επίπεδο προσπάθειας και αφοσίωσης… που είναι σίγουρα διαφορετικό και ασυνήθιστο… να καταβάλεις τόση προσπάθεια για ένα τόσο συγκεκριμένο σύνολο επιθέσεων.”

Γεωπολιτικοί εμπειρογνώμονες στο σταυροδρόμι

Οι ειδικοί σε θέματα πολιτικής αποτελούν συχνά στόχο από ομάδες εθνικών κρατών. ο Όμιλος ColdRiver που συνδέεται με τη Ρωσία, για παράδειγμα, έχει στοχεύσει μη κυβερνητικές οργανώσεις, στρατιωτικούς αξιωματικούς και άλλους ειδικούς που χρησιμοποιούν την κοινωνική μηχανική για να κερδίσουν την εμπιστοσύνη του θύματος και στη συνέχεια ακολουθούν έναν κακόβουλο σύνδεσμο ή κακόβουλο λογισμικό. Στην Ιορδανία, στοχευμένη εκμετάλλευση — σύμφωνα με πληροφορίες από κυβερνητικές υπηρεσίες — χρησιμοποίησε το πρόγραμμα spyware Pegasus που αναπτύχθηκε από τον Όμιλο NSO και απευθύνεται σε δημοσιογράφους, δικηγόρους ψηφιακών δικαιωμάτων και άλλους ειδικούς σε θέματα πολιτικής. 

Άλλες εταιρείες έχουν επίσης περιγράψει τις τακτικές του Charming Kitten/CharmingCypress. Σε μια συμβουλή του Ιανουαρίου, Η Microsoft προειδοποίησε ότι η ομάδα, την οποία αποκαλεί Mint Sandstorm, είχε βάλει στο στόχαστρο δημοσιογράφους, ερευνητές, καθηγητές και άλλους ειδικούς που κάλυπταν θέματα ασφάλειας και πολιτικής που ενδιαφέρουν την ιρανική κυβέρνηση.

«Οι χειριστές που σχετίζονται με αυτήν την υποομάδα της Mint Sandstorm είναι υπομονετικοί και υψηλά καταρτισμένοι κοινωνικοί μηχανικοί των οποίων το tradecraft δεν διαθέτει πολλά από τα χαρακτηριστικά που επιτρέπουν στους χρήστες να εντοπίζουν γρήγορα μηνύματα ηλεκτρονικού ψαρέματος», δήλωσε η Microsoft. "Σε ορισμένες περιπτώσεις αυτής της καμπάνιας, αυτή η υποομάδα χρησιμοποίησε επίσης νόμιμους αλλά παραβιασμένους λογαριασμούς για να στείλει θέλγητρα ηλεκτρονικού "ψαρέματος".

Η ομάδα δραστηριοποιείται τουλάχιστον από το 2013, έχει ισχυροί δεσμοί με το Σώμα των Φρουρών της Ισλαμικής Επανάστασης (IRGC), και δεν έχει εμπλακεί άμεσα στην κυβερνο-επιχειρησιακή πτυχή της σύγκρουσης μεταξύ Ισραήλ και Χαμάς, σύμφωνα με την εταιρεία κυβερνοασφάλειας CrowdStrike. 

«Σε αντίθεση με τον πόλεμο Ρωσίας-Ουκρανίας, όπου οι γνωστές κυβερνοεπιχειρήσεις συνέβαλαν άμεσα στη σύγκρουση, όσοι εμπλέκονται στη σύγκρουση Ισραήλ-Χαμάς δεν συνέβαλαν άμεσα στις στρατιωτικές επιχειρήσεις της Χαμάς κατά του Ισραήλ», δήλωσε η εταιρεία στην «Παγκόσμια Απειλή 2024». Έκθεση» που κυκλοφόρησε στις 21 Φεβρουαρίου.

Χτίζοντας Σχέσεις με την πάροδο του χρόνου

Αυτές οι επιθέσεις συνήθως ξεκινούν με spear-phishing και τελειώνουν με έναν συνδυασμό κακόβουλου λογισμικού που παραδίδεται στο σύστημα του στόχου, σύμφωνα με μια συμβουλή από το Volexity, που αποκαλεί την ομάδα CharmingCypress. Τον Σεπτέμβριο και τον Οκτώβριο του 2023, το CharmingCypress χρησιμοποίησε έναν αριθμό τομέων με τυπογραφικά καταληψία - διευθύνσεις παρόμοιες με νόμιμους τομείς - για να παρουσιαστεί ως αξιωματούχοι από το Διεθνές Ινστιτούτο Ιρανικών Σπουδών (IIIS) για να προσκαλέσει ειδικούς σε θέματα πολιτικής σε ένα διαδικτυακό σεμινάριο. Το αρχικό email κατέδειξε τη χαμηλή και αργή προσέγγιση του CharmingCypress, αποφεύγοντας κάθε κακόβουλο σύνδεσμο ή συνημμένο και προσκαλώντας τον στοχευόμενο επαγγελματία να επικοινωνήσει μέσω άλλων καναλιών επικοινωνίας, όπως το WhatsApp και το Signal. 

Χρησιμοποιώντας το σε βάθος spearphishing, το CharmingCypress στοχεύει να πείσει τους ειδικούς σε θέματα πολιτικής να εγκαταστήσουν κακόβουλο λογισμικό. Πηγή: Volexity

Οι επιθέσεις στοχεύουν ειδικούς της πολιτικής της Μέσης Ανατολής σε όλο τον κόσμο, με το Volexity να αντιμετωπίζει την πλειονότητα των επιθέσεων εναντίον Ευρωπαίων και Αμερικανών επαγγελματιών, λέει ο Adair.

«Είναι αρκετά επιθετικοί», λέει. «Θα δημιουργήσουν ακόμη και ολόκληρες αλυσίδες email ή ένα σενάριο phishing όπου αναζητούν σχόλια και υπάρχουν άλλα άτομα - ίσως τρία, τέσσερα ή πέντε άτομα σε αυτό το νήμα email με εξαίρεση τον στόχο - σίγουρα προσπαθούν να οικοδομήσουμε σχέσεις».

Το long con τελικά παραδίδει ένα ωφέλιμο φορτίο. Το Volexity εντόπισε πέντε διαφορετικές οικογένειες κακόβουλου λογισμικού που σχετίζονται με την απειλή. Το PowerLess backdoor εγκαθίσταται από την έκδοση των Windows της εφαρμογής εικονικού ιδιωτικού δικτύου (VPN) με κακόβουλο λογισμικό, η οποία χρησιμοποιεί το PowerShell για να επιτρέπει τη μεταφορά και την εκτέλεση αρχείων, καθώς και τη στόχευση συγκεκριμένων δεδομένων στο σύστημα, την καταγραφή πληκτρολογήσεων και τη λήψη στιγμιότυπων οθόνης . Μια έκδοση macOS του κακόβουλου λογισμικού ονομάζεται NokNok, ενώ μια ξεχωριστή αλυσίδα κακόβουλου λογισμικού που χρησιμοποιεί ένα αρχείο RAR και εκμετάλλευση LNK οδηγεί σε μια κερκόπορτα που ονομάζεται Basicstar.

Η άμυνα γίνεται πιο δύσκολη

Η προσέγγιση της ομάδας στην κοινωνική μηχανική ενσωματώνει σίγουρα το κομμάτι της «επιμονής» της προηγμένης επίμονης απειλής (APT). Το Volexity βλέπει ένα «συνεχές μπαράζ» επιθέσεων, επομένως οι ειδικοί της πολιτικής πρέπει να γίνουν ακόμη πιο καχύποπτοι για τις ψυχρές επαφές, λέει ο Adair.

Θα είναι δύσκολο να γίνει αυτό, καθώς πολλοί ειδικοί σε θέματα πολιτικής είναι ακαδημαϊκοί σε συνεχή επαφή με φοιτητές ή μέλη του κοινού και δεν συνηθίζουν να είναι αυστηροί με τις επαφές τους, λέει. Ωστόσο, θα πρέπει οπωσδήποτε να σκεφτούν πριν ανοίξουν έγγραφα ή εισαγάγουν διαπιστευτήρια σε έναν ιστότοπο στον οποίο φτάσαμε μέσω άγνωστου συνδέσμου.

«Στο τέλος της ημέρας, πρέπει να κάνουν το άτομο να κάνει κλικ σε κάτι ή να ανοίξει κάτι, κάτι που αν θέλω να ελέγξετε ένα έγγραφο ή κάτι τέτοιο, σημαίνει… να είστε πολύ επιφυλακτικοί με συνδέσμους και αρχεία», λέει ο Adair. «Αν πρέπει να εισαγάγω τα διαπιστευτήριά μου σε οποιαδήποτε χρονική στιγμή ή να εξουσιοδοτήσω κάτι - αυτό θα πρέπει να είναι μια σημαντική κόκκινη σημαία. Ομοίως, αν μου ζητηθεί να κατεβάσω κάτι, αυτό θα πρέπει να είναι μια αρκετά μεγάλη κόκκινη σημαία.”

Επιπλέον, οι ειδικοί σε θέματα πολιτικής πρέπει να κατανοήσουν ότι η CharmingCypress θα συνεχίσει να τους στοχεύει ακόμη και αν αποτύχουν οι προσπάθειές της, δήλωσε η Volexity. 

«Αυτός ο παράγοντας απειλής είναι ιδιαίτερα αφοσιωμένος στη διεξαγωγή παρακολούθησης των στόχων του, προκειμένου να καθορίσει τον καλύτερο τρόπο χειραγώγησης και ανάπτυξης κακόβουλου λογισμικού», ανέφερε η εταιρεία στη συμβουλευτική της. «Επιπλέον, λίγοι άλλοι παράγοντες απειλών έχουν πραγματοποιήσει με συνέπεια τόσες εκστρατείες όπως το CharmingCypress, αφιερώνοντας ανθρώπινους χειριστές για να υποστηρίξουν τις συνεχείς προσπάθειές τους».

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
• PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
• PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
• πηγή: https://www.darkreading.com/vulnerabilities-threats/iran-backed-charming-kitten-stages-fake-webinar-platform-to-ensnare-targets