Iraani toetatud võluv kassipoeg korraldab võltsveebiseminari platvormi, et püüda sihtmärke

Konfliktid Lähis-Idas, Ukrainas ja teistes geopoliitiliste pingetega piirkondades on muutnud poliitikaeksperdid riigi toetatud rühmituste küberoperatsioonide viimaseks sihtmärgiks. 

Iraaniga seotud rühmitus – tuntud kui Charming Kitten, CharmingCypress ja APT42 – võttis hiljuti sihikule Lähis-Ida poliitikaeksperdid nii piirkonnas kui ka USA-s ja Euroopas, kasutades võltsitud veebiseminari platvormi, et ohustada oma sihitud ohvreid, intsidentidele reageerimise teenust osutav ettevõte Volexity. öeldakse sel kuul avaldatud nõuandes.

Charming Kitten on tuntud oma ulatuslike sotsiaalse insener-taktika poolest, sealhulgas madala ja aeglase sotsiaalse manipuleerimise rünnakud mõttekodade ja ajakirjanike vastu poliitilise luureandmete kogumiseks, teatas ettevõte. 

Rühm püüab sageli installida troojalastega seotud VPN-rakendusi, et pääseda ligi võltsveebiseminari platvormile ja teistele saitidele, mille tulemuseks on pahavara installimine. Üldiselt on grupp pika enesekindluse mängu omaks võtnud, ütleb Steven Adair, Volexity kaasasutaja ja president.

"Ma ei tea, kas see on tingimata keerukas ja arenenud, kuid see on palju pingutust," ütleb ta. "See on oluliselt arenenum ja keerukam kui teie keskmine rünnak. See on pingutuse ja pühendumise tase … see on kindlasti erinev ja ebatavaline … sellise konkreetse rünnakute komplekti jaoks nii palju pingutada.

Geopoliitika eksperdid ristis

Poliitikaeksperdid on sageli rahvusriikide rühmade sihtmärgiks. The Venemaaga seotud ColdRiver gruppNäiteks on sihikule võtnud valitsusvälised organisatsioonid, sõjaväelased ja teised eksperdid, kes kasutavad sotsiaalset manipuleerimist ohvri usalduse võitmiseks ja seejärel pahatahtliku lingi või pahavaraga. Jordaanias sihipärane ärakasutamine – väidetavalt valitsusasutuste poolt – kasutas Pegasuse nuhkvaraprogrammi mille on välja töötanud NSO Group ja mis on suunatud ajakirjanikele, digitaalõiguste juristidele ja teistele poliitikaekspertidele. 

Charming Kitten/CharmingCypressi taktikat on kirjeldanud ka teised ettevõtted. Jaanuarikuu nõuandes Microsoft hoiatas et rühmitus, mida ta nimetab Mint Sandstormiks, oli võtnud sihikule ajakirjanikud, teadlased, professorid ja muud eksperdid, kes käsitlesid Iraani valitsusele huvipakkuvaid julgeoleku- ja poliitilisi teemasid.

"Selle Mint Sandstormi alamrühmaga seotud operaatorid on kannatlikud ja kõrgelt kvalifitseeritud sotsiaalinsenerid, kelle käsitööl puuduvad paljud tunnused, mis võimaldavad kasutajatel andmepüügimeile kiiresti tuvastada," teatas Microsoft. "Selle kampaania mõnel juhul kasutas see alamrühm andmepüügipeibutiste saatmiseks ka seaduslikke, kuid ohustatud kontosid."

Grupp on tegutsenud vähemalt 2013. aastast tugevad sidemed Islami revolutsioonilise kaardiväe korpusega (IRGC), ega ole küberjulgeolekufirma CrowdStrike andmetel olnud otseselt seotud Iisraeli ja Hamasi vahelise konflikti küberoperatiivse aspektiga. 

"Erinevalt Venemaa-Ukraina sõjast, kus teadaolevad küberoperatsioonid on konfliktile otseselt kaasa aidanud, ei ole Iisraeli-Hamasi konfliktis osalenud isikud otseselt kaasa aidanud Hamasi sõjalistele operatsioonidele Iisraeli vastu," teatas ettevõte oma 2024. aasta ülemaailmses ohus. Raport” avaldati 21. veebruaril.

Suhte loomine aja jooksul

Need rünnakud algavad tavaliselt õngepüügiga ja lõppevad sihtmärgi süsteemi toimetatud pahavara kombinatsiooniga. Volexity nõuanne, mis kutsub gruppi CharmingCypress. 2023. aasta septembris ja oktoobris kasutas CharmingCypress mitmeid trükivigadega domeene – seaduslike domeenidega sarnaseid aadresse –, et esineda Rahvusvahelise Iraani Uuringute Instituudi (IIIS) ametnikena, et kutsuda poliitikaeksperte veebiseminarile. Esialgne e-kiri demonstreeris CharmingCypressi madalat ja aeglast lähenemist, vältides pahatahtlikke linke või manuseid ning kutsudes sihitud professionaali ühendust võtma muude suhtluskanalite, nagu WhatsApp ja Signal, kaudu. 

CharmingCypressi eesmärk on põhjaliku andmepüügi abil veenda poliitikaeksperte pahavara installima. Allikas: Volexity

Rünnakud on suunatud Lähis-Ida poliitikaekspertidele kogu maailmas ning Volexityl on enamik rünnakuid Euroopa ja USA spetsialistide vastu, ütleb Adair.

"Nad on üsna agressiivsed," ütleb ta. "Nad loovad isegi terveid meiliahelaid või andmepüügistsenaariumi, kus nad otsivad kommentaare ja seal on teisi inimesi – võib-olla kolm, neli või viis inimest selles meililõimes, välja arvatud sihtmärk –, et nad kindlasti proovivad. suhte loomiseks."

Pikk segadus annab lõpuks kasuliku koormuse. Volexity tuvastas viis erinevat ohuga seotud pahavara perekonda. PowerLessi tagaukse installib pahavaraga koormatud virtuaalse privaatvõrgu (VPN) rakenduse Windowsi versioon, mis kasutab PowerShelli, et võimaldada failide ülekandmist ja käivitamist, samuti konkreetsete süsteemiandmete sihtimist, klahvivajutuste logimist ja ekraanipiltide jäädvustamist. . Pahavara macOS-i versioon kannab nime NokNok, samas kui eraldiseisev RAR-arhiivi ja LNK-arhiivi kasutav pahavaraahel viib Basicstari nimelise tagaukseni.

Kaitsmine muutub keerulisemaks

Rühma lähenemine sotsiaalsele manipuleerimisele kehastab kindlasti arenenud püsiva ohu (APT) "püsivust". Volexity näeb "pidevat rünnakute tulv", nii et poliitikaeksperdid peavad muutuma külmade kontaktide suhtes veelgi kahtlustavamaks, ütleb Adair.

Ta ütleb, et seda on raske teha, kuna paljud poliitikaeksperdid on akadeemikud, kes suhtlevad pidevalt üliõpilaste või avalikkusega ega ole harjunud oma kontaktide suhtes ranged olema. Siiski peaksid nad kindlasti mõtlema enne dokumentide avamist või mandaatide sisestamist saidile, kuhu jõudis tundmatu lingi kaudu.

"Päeva lõpuks peavad nad panema inimese midagi klõpsama või midagi avama, mis, kui ma tahan, et vaataksite paberi või midagi sellist, tähendab ... olla linkide ja failide suhtes väga ettevaatlik," ütleb Adair. "Kui ma pean igal ajal oma volikirjad sisestama või midagi volitama, peaks see olema suur punane lipp. Samamoodi, kui mul palutakse midagi alla laadida, peaks see olema päris suur punane lipp.

Lisaks peavad poliitikaeksperdid mõistma, et CharmingCypress jätkab nende sihtimist isegi siis, kui tema katsed ebaõnnestuvad, teatas Volexity. 

"See ohutegija on väga pühendunud oma sihtmärkide jälgimisele, et teha kindlaks, kuidas nendega kõige paremini manipuleerida ja pahavara juurutada," teatas ettevõte oma nõuandes. "Lisaks on vähesed teised ohus osalejad järjekindlalt korraldanud nii palju kampaaniaid kui CharmingCypress, pühendades operaatorid nende jätkuvate jõupingutuste toetamisele."

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
• PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
• PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
• PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
• Allikas: https://www.darkreading.com/vulnerabilities-threats/iran-backed-charming-kitten-stages-fake-webinar-platform-to-ensnare-targets