Iranin tukema hurmaava kissanpentu järjestää väärennetyn webinaarialustan ansaan kohteille

Lähi-idän, Ukrainan ja muiden kiehuvien geopoliittisten jännitteiden konfliktit ovat tehneet politiikan asiantuntijoista viimeisimmän valtion tukemien ryhmien kyberoperaatioiden kohteen. 

Iraniin sidoksissa oleva ryhmä, joka tunnetaan nimellä Charming Kitten, CharmingCypress ja APT42, otti äskettäin kohteena Lähi-idän politiikan asiantuntijoita alueella sekä Yhdysvalloissa ja Euroopassa käyttämällä väärennettyä verkkoseminaarialustaa vaarantaakseen kohdennetut uhrit, onnettomuuksien torjuntapalveluyritys Volexity. todetaan tässä kuussa julkaistussa ilmoituksessa.

Charming Kitten tunnetaan laajasta sosiaalisen suunnittelun taktiikoistaan, mukaan lukien matalat ja hitaat sosiaalisen manipuloinnin hyökkäykset ajatushautoja ja toimittajia vastaan ​​kerätäkseen poliittista tiedustelutietoa, yritys totesi. 

Ryhmä huijaa usein asentaakseen troijalaisten VPN-sovelluksia päästäkseen väärennetylle webinaarialustalle ja muille sivustoille, mikä johtaa haittaohjelmien asentamiseen. Kaiken kaikkiaan ryhmä on omaksunut pitkän itseluottamuspelin, sanoo Steven Adair, Volexityn toinen perustaja ja puheenjohtaja.

"En tiedä, onko se välttämättä hienostunutta ja edistynyttä, mutta se vaatii paljon vaivaa", hän sanoo. "Se on huomattavasti edistyneempi ja hienostuneempi kuin keskimääräinen hyökkäys. Se on ponnistuksen ja omistautumisen taso… joka on ehdottomasti erilaista ja harvinaista… ponnistella niin paljon tällaisen tietyn hyökkäyssarjan saavuttamiseksi.”

Geopolitiikan asiantuntijat ristissä

Politiikan asiantuntijat ovat usein kansallisvaltioryhmien kohteena. The Venäjään liittyvä ColdRiver-konserni, on esimerkiksi kohdistanut kohteena kansalaisjärjestöjä, sotilaita ja muita asiantuntijoita, jotka ovat käyttäneet sosiaalista manipulointia saadakseen uhrin luottamuksen ja jäljittääkseen sitten haitallisen linkin tai haittaohjelman. Jordaniassa kohdennettua hyväksikäyttöä – väitetään valtion virastojen toimesta – käytti Pegasus-spyware-ohjelmaa NSO Groupin kehittämä ja suunnattu toimittajille, digitaalisten oikeuksien lakimiehille ja muille politiikan asiantuntijoille. 

Muut yritykset ovat myös kuvanneet Charming Kitten/CharmingCypressin taktiikoita. Tammikuun neuvolassa Microsoft varoitti että ryhmä, jota se kutsuu nimellä Mint Sandstorm, oli ottanut kohteena toimittajia, tutkijoita, professoreita ja muita asiantuntijoita, jotka käsittelivät Iranin hallitusta kiinnostavia turvallisuus- ja poliittisia aiheita.

"Tähän Mint Sandstormin alaryhmään liittyvät operaattorit ovat kärsivällisiä ja korkeasti koulutettuja sosiaalisia insinöörejä, joiden ammattitaidosta puuttuu monia tunnusmerkkejä, joiden avulla käyttäjät voivat nopeasti tunnistaa tietojenkalasteluviestit", Microsoft totesi. "Joissakin tämän kampanjan tapauksissa tämä alaryhmä käytti myös laillisia, mutta vaarantuneita tilejä tietojenkalasteluvieheiden lähettämiseen."

Ryhmä on ollut aktiivinen ainakin vuodesta 2013 lähtien vahvat yhteydet Islamic Revolutionary Guard Corpsiin (IRGC), eikä ole ollut suoraan osallisena Israelin ja Hamasin välisen konfliktin kyberoperatiivisessa osassa, kyberturvallisuusyhtiö CrowdStriken mukaan. 

"Toisin kuin Venäjän ja Ukrainan sodassa, jossa tunnetut kyberoperaatiot ovat suoraan myötävaikuttaneet konfliktiin, Israelin ja Hamasin konfliktin osapuolet eivät ole suoraan myötävaikuttaneet Hamasin sotilasoperaatioihin Israelia vastaan", yhtiö totesi "2024 Global Threatissaan" Raportti” julkaistiin 21. helmikuuta.

Yhteyden rakentaminen ajan mittaan

Nämä hyökkäykset alkavat yleensä keihään kalastelulla ja päättyvät kohteen järjestelmään toimitettujen haittaohjelmien yhdistelmään. neuvoja Volexityltä, joka kutsuu ryhmää CharmingCypress. Syys- ja lokakuussa 2023 CharmingCypress käytti useita kirjoitusvirheitä sisältäviä verkkotunnuksia – laillisia verkkotunnuksia muistuttavia osoitteita – esiintyäkseen kansainvälisen Iranin tutkimusinstituutin (IIIS) virkamiehinä kutsuakseen politiikan asiantuntijoita webinaariin. Ensimmäinen sähköposti osoitti CharmingCypressin matalan ja hitaan lähestymistavan, välttäen kaikki haitalliset linkit tai liitteet ja kutsuen kohteena olevaa ammattilaista ottamaan yhteyttä muiden viestintäkanavien, kuten WhatsAppin ja Signalin, kautta. 

CharmingCypress pyrkii vakuuttamaan politiikan asiantuntijat asentamaan haittaohjelmat perusteellisen speaphishingin avulla. Lähde: Volexity

Hyökkäykset kohdistuvat Lähi-idän politiikan asiantuntijoihin maailmanlaajuisesti, ja Volexity kohtaa suurimman osan hyökkäyksistä eurooppalaisia ​​ja yhdysvaltalaisia ​​ammattilaisia ​​vastaan, Adair sanoo.

"He ovat melko aggressiivisia", hän sanoo. "He jopa perustavat kokonaisia ​​sähköpostiketjuja tai tietojenkalastelutilanteen, jossa he etsivät kommentteja ja muita ihmisiä - ehkä kolme, neljä tai viisi henkilöä kyseisessä sähköpostiketjussa kohdetta lukuun ottamatta - he varmasti yrittävät rakentamaan suhdetta."

Pitkä huijaus tuottaa lopulta hyötykuorman. Volexity tunnisti viisi erilaista haittaohjelmaperhettä, jotka liittyvät uhkaan. PowerLess-takaoven asentaa haittaohjelmia sisältävän VPN (Virtual Private Network) -sovelluksen Windows-versio, joka käyttää PowerShellia tiedostojen siirtämiseen ja suorittamiseen sekä tiettyjen järjestelmän tietojen kohdistamiseen, näppäinpainallusten kirjaamiseen ja kuvakaappausten kaappaamiseen. . Haittaohjelman macOS-versio on nimeltään NokNok, kun taas erillinen haittaohjelmaketju, joka käyttää RAR-arkistoa ja LNK-hyödyntämistä, johtaa Basicstar-nimiseen takaoveen.

Puolustamisesta tulee vaikeampaa

Ryhmän lähestymistapa sosiaaliseen suunnitteluun ilmentää ehdottomasti kehittyneen jatkuvan uhkan (APT) "pysyvyys". Volexity näkee "jatkuvan hyökkäystulvan", joten politiikan asiantuntijoiden täytyy tulla entistä epäluuloisemmiksi kylmiä kontakteja kohtaan, Adair sanoo.

Sen tekeminen tulee olemaan vaikeaa, sillä monet politiikan asiantuntijat ovat akateemikkoja, jotka ovat jatkuvasti yhteydessä opiskelijoihin tai yleisöön eivätkä ole tottuneet olemaan tiukkoja yhteyksissään, hän sanoo. Heidän tulee kuitenkin ehdottomasti miettiä ennen kuin avaavat asiakirjoja tai syöttävät tunnistetietoja tuntemattoman linkin kautta saavutetulle sivustolle.

"Loppujen lopuksi heidän on saatava henkilö napsauttamaan jotain tai avaamaan jotain, mikä, jos haluan sinun tarkistavan paperin tai jotain vastaavaa, tarkoittaa ... erittäin varovaisuutta linkkien ja tiedostojen suhteen", Adair sanoo. "Jos minun on syötettävä valtuustietoni milloin tahansa tai valtuutettava jotain - sen pitäisi olla tärkeä punainen lippu. Vastaavasti, jos minua pyydetään lataamaan jotain, sen pitäisi olla melko suuri punainen lippu.

Lisäksi politiikan asiantuntijoiden on ymmärrettävä, että CharmingCypress jatkaa heihin kohdistumista, vaikka sen yritykset epäonnistuvat, Volexity totesi. 

"Tämä uhkatoimija on erittäin sitoutunut valvomaan kohteitaan selvittääkseen, kuinka niitä voidaan parhaiten manipuloida ja ottaa käyttöön haittaohjelmia", yhtiö totesi tiedotteessaan. "Lisäksi harvat muut uhkatoimijat ovat johdonmukaisesti järjestäneet yhtä monta kampanjoita kuin CharmingCypress, antaen ihmisoperaattorit tukemaan heidän jatkuvia ponnistelujaan."

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
• PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
• PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
• PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
• Lähde: https://www.darkreading.com/vulnerabilities-threats/iran-backed-charming-kitten-stages-fake-webinar-platform-to-ensnare-targets