Un gatito encantador respaldado por Irán organiza una plataforma de seminarios web falsos para atrapar objetivos

Los conflictos en Medio Oriente, Ucrania y otras áreas de tensiones geopolíticas latentes han convertido a los expertos en políticas en el último objetivo de las operaciones cibernéticas realizadas por grupos patrocinados por el Estado. 

Un grupo vinculado a Irán, conocido como Charming Kitten, CharmingCypress y APT42, atacó recientemente a expertos en políticas de Oriente Medio en la región, así como en Estados Unidos y Europa, utilizando una plataforma de seminarios web falsa para comprometer a sus víctimas, según la empresa de servicios de respuesta a incidentes Volexity. afirmó en un aviso publicado este mes.

Charming Kitten es bien conocido por sus extensas tácticas de ingeniería social, incluidos ataques de ingeniería social bajos y lentos contra grupos de expertos y periodistas para recopilar inteligencia política, afirmó la firma. 

El grupo a menudo engaña a sus objetivos para que instalen aplicaciones VPN manipuladas con troyanos para obtener acceso a la plataforma de seminarios web falsos y a otros sitios, lo que resulta en la instalación de malware. En general, el grupo ha adoptado el juego de la confianza a largo plazo, dice Steven Adair, cofundador y presidente de Volexity.

"No sé si eso es necesariamente sofisticado y avanzado, pero requiere mucho esfuerzo", afirma. “Es más avanzado y más sofisticado que un ataque promedio por un margen significativo. Es un nivel de esfuerzo y dedicación... que definitivamente es diferente y poco común... hacer tanto esfuerzo para un conjunto tan específico de ataques".

Expertos geopolíticos en la mira

Los expertos en políticas son con frecuencia el blanco de los grupos de estados-nación. El Grupo ColdRiver vinculado a Rusia, por ejemplo, se ha dirigido a organizaciones no gubernamentales, oficiales militares y otros expertos que utilizan la ingeniería social para ganarse la confianza de la víctima y luego realizan un seguimiento con un enlace malicioso o malware. En Jordania, la explotación selectiva (al parecer por parte de agencias gubernamentales) utilizó el programa de software espía Pegasus desarrollado por NSO Group y dirigido a periodistas, abogados de derechos digitales y otros expertos en políticas. 

Otras empresas también han descrito las tácticas de Charming Kitten/CharmingCypress. En un aviso de enero, Microsoft advirtió que el grupo, al que llama Mint Sandstorm, había atacado a periodistas, investigadores, profesores y otros expertos que cubren temas de seguridad y políticas de interés para el gobierno iraní.

"Los operadores asociados con este subgrupo de Mint Sandstorm son ingenieros sociales pacientes y altamente capacitados cuyo oficio carece de muchas de las características que permiten a los usuarios identificar rápidamente los correos electrónicos de phishing", afirmó Microsoft. "En algunos casos de esta campaña, este subgrupo también utilizó cuentas legítimas pero comprometidas para enviar señuelos de phishing".

El grupo ha estado activo desde al menos 2013, ha Fuertes vínculos con el Cuerpo de la Guardia Revolucionaria Islámica (IRGC)y no ha estado directamente involucrado en el aspecto ciberoperativo del conflicto entre Israel y Hamás, según la firma de ciberseguridad CrowdStrike. 

"A diferencia de la guerra entre Rusia y Ucrania, donde las operaciones cibernéticas conocidas contribuyeron directamente al conflicto, los involucrados en el conflicto entre Israel y Hamás no contribuyeron directamente a las operaciones militares de Hamás contra Israel", afirmó la compañía en su informe "Amenaza Global 2024". Informe” publicado el 21 de febrero.

Estableciendo una buena relación con el tiempo

Estos ataques generalmente comienzan con phishing y terminan con una combinación de malware entregado al sistema del objetivo, según un aviso de Volexity, que llama al grupo CharmingCypress. En septiembre y octubre de 2023, CharmingCypress utilizó una serie de dominios con errores tipográficos (direcciones similares a dominios legítimos) para hacerse pasar por funcionarios del Instituto Internacional de Estudios Iraníes (IIIS) e invitar a expertos en políticas a un seminario web. El correo electrónico inicial demostró el enfoque lento y lento de CharmingCypress, evitando cualquier enlace o archivo adjunto malicioso e invitando al profesional objetivo a comunicarse a través de otros canales de comunicación, como WhatsApp y Signal. 

Utilizando un exhaustivo phishing, CharmingCypress tiene como objetivo convencer a los expertos en políticas para que instalen malware. Fuente: Volexidad

Los ataques tienen como objetivo a expertos en políticas de Medio Oriente en todo el mundo, y Volexity se enfrenta a la mayoría de ataques contra profesionales europeos y estadounidenses, dice Adair.

"Son bastante agresivos", dice. “Incluso configuran cadenas enteras de correo electrónico o un escenario de phishing en el que buscan comentarios y hay otras personas (tal vez tres, cuatro o cinco personas en ese hilo de correo electrónico con la excepción del objetivo) que definitivamente lo están intentando. para construir una buena relación”.

La larga estafa eventualmente entrega una carga útil. Volexity identificó cinco familias de malware diferentes asociadas con la amenaza. La puerta trasera PowerLess se instala mediante la versión de Windows de la aplicación de red privada virtual (VPN) cargada de malware, que utiliza PowerShell para permitir la transferencia y ejecución de archivos, además de apuntar a datos específicos del sistema, registrar pulsaciones de teclas y capturar capturas de pantalla. . Una versión para macOS del malware se denomina NokNok, mientras que una cadena de malware separada que utiliza un archivo RAR y un exploit LNK conduce a una puerta trasera llamada Basicstar.

Defender se vuelve más difícil

El enfoque del grupo hacia la ingeniería social definitivamente encarna la parte de “persistencia” de la amenaza persistente avanzada (APT). Volexity ve un “aluvión constante” de ataques, por lo que los expertos en políticas tienen que sospechar aún más de los contactos fríos, dice Adair.

Hacerlo será difícil, ya que muchos expertos en políticas son académicos en contacto constante con estudiantes o miembros del público y no están acostumbrados a ser estrictos con sus contactos, dice. Sin embargo, definitivamente deberían pensar antes de abrir documentos o ingresar credenciales en un sitio al que se accede a través de un enlace desconocido.

"Al final del día, tienen que conseguir que la persona haga clic en algo o abra algo, lo que si quiero que revises un artículo o algo así, significa... tener mucho cuidado con los enlaces y archivos", dice Adair. “Si tengo que ingresar mis credenciales en algún momento o autorizar algo, eso debería ser una señal de alerta importante. Del mismo modo, si me piden que descargue algo, eso debería ser una gran señal de alerta”.

Además, los expertos en políticas deben comprender que CharmingCypress seguirá apuntándolos incluso si sus intentos fracasan, afirmó Volexity. 

"Este actor de amenazas está altamente comprometido a realizar vigilancia sobre sus objetivos para determinar la mejor manera de manipularlos e implementar malware", afirmó la compañía en su aviso. "Además, pocos actores de amenazas han producido consistentemente tantas campañas como CharmingCypress, dedicando operadores humanos para apoyar sus esfuerzos en curso".

• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
• PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
• PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
• PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
• Fuente: https://www.darkreading.com/vulnerabilities-threats/iran-backed-charming-kitten-stages-fake-webinar-platform-to-ensnare-targets