Az Irán által támogatott bájos cica hamis webinárium-platformot rendez a célpontok behálózására

A Közel-Keleten, Ukrajnában és a geopolitikai feszültségek más területein zajló konfliktusok miatt a szakpolitikai szakértők az államilag támogatott csoportok által végrehajtott kiberműveletek legújabb célpontjává váltak. 

Egy Iránhoz köthető csoport – Charming Kitten, CharmingCypress és APT42 néven – a közelmúltban közel-keleti szakpolitikai szakértőket vett célba a régióban, valamint az Egyesült Államokban és Európában, egy hamis webinárium platformot használva a megcélzott áldozatok kompromittálására, a Volexity incidens-elhárítási szolgáltató cég. – áll egy ebben a hónapban közzétett tájékoztatóban.

A Charming Kitten jól ismert kiterjedt social engineering taktikájáról, beleértve az agytrösztök és az újságírók elleni alacsony és lassú szociális tervezési támadásokat, hogy politikai hírszerzést gyűjtsön. 

A csoport gyakran megtéveszti a trójai alapú VPN-alkalmazások telepítését, hogy hozzáférhessen a hamis webinárium-platformhoz és más webhelyekhez, ami rosszindulatú programok telepítését eredményezi. Összességében a csoport magáévá tette a hosszú önbizalomjátékot, mondja Steven Adair, a Volexity társalapítója és elnöke.

„Nem tudom, hogy ez feltétlenül kifinomult és fejlett-e, de sok erőfeszítést igényel” – mondja. – Jelentős különbséggel fejlettebb és kifinomultabb, mint az átlagos támadás. Ez egy olyan szintű erőfeszítés és elhivatottság… ami határozottan más és szokatlan… ennyi erőfeszítést tenni egy ilyen konkrét támadássorozatért.”

Geopolitikai szakértők a célkeresztben

A szakpolitikai szakértők gyakran a nemzetállami csoportok célpontjai. A Oroszországhoz kötődő ColdRiver csoportpéldául nem kormányzati szervezeteket, katonatiszteket és más szakértőket vett célba, akik szociális manipulációt alkalmaztak az áldozat bizalmának elnyerésére, majd egy rosszindulatú hivatkozással vagy kártevő szoftverrel. Jordániában célzott kizsákmányolás – állítólag a kormányhivatalok részéről – a Pegasus spyware programot használta az NSO Group fejlesztette ki, és az újságírókat, a digitális jogokkal foglalkozó jogászokat és más szakpolitikai szakértőket célozta meg. 

Más cégek is leírták a Charming Kitten/CharmingCypress taktikáját. Egy januári tanácsadásban – figyelmeztetett a Microsoft hogy az általa Mint Sandstormnak nevezett csoport újságírókat, kutatókat, professzorokat és más szakértőket vett célba, akik az iráni kormányt érdeklő biztonsági és politikai témákkal foglalkoztak.

"A Mint Sandstorm ezen alcsoportjához tartozó üzemeltetők türelmes és magasan képzett szociális mérnökök, akiknek a mesterségében hiányzik számos olyan jellemző, amely lehetővé teszi a felhasználók számára, hogy gyorsan azonosítsák az adathalász e-maileket" - mondta a Microsoft. "E kampány egyes esetekben ez az alcsoport legitim, de feltört fiókokat is használt adathalász csalók küldésére."

A csoport legalább 2013 óta működik szoros kapcsolat az Iszlám Forradalmi Gárdával (IRGC), és a CrowdStrike kiberbiztonsági cég szerint nem vett részt közvetlenül az Izrael és a Hamász közötti konfliktus kiber-operatív vonatkozásában. 

„Eltérően az orosz-ukrán háborútól, ahol az ismert kiberműveletek közvetlenül hozzájárultak a konfliktushoz, az Izrael-Hamász konfliktusban résztvevők nem járultak hozzá közvetlenül a Hamász Izrael elleni hadműveleteihez” – szögezte le a vállalat a „2024 Global Threat” című közleményében. Jelentés” február 21-én jelent meg.

Kapcsolatteremtés az idő múlásával

Ezek a támadások általában lándzsás adathalászattal kezdődnek, és a célpont rendszerére eljuttatott rosszindulatú programok kombinációjával végződnek. a Volexity tanácsa, amely a CharmingCypress csoportot hívja. 2023 szeptemberében és októberében a CharmingCypress számos elgépelt domaint – a legális domainekhez hasonló címeket – használt fel, hogy az Iráni Tanulmányok Nemzetközi Intézete (IIIS) tisztviselőinek adja ki magát, hogy politikai szakértőket hívjon meg egy webináriumra. Az első e-mail bemutatta a CharmingCypress alacsony és lassú megközelítését, elkerülve a rosszindulatú hivatkozásokat vagy mellékleteket, és felkérte a megcélzott szakembert, hogy lépjen kapcsolatba más kommunikációs csatornákon, például a WhatsApp-on és a Signal-on. 

Az alapos adathalászat segítségével a CharmingCypress célja, hogy meggyőzze a politika szakértőit ​​a rosszindulatú programok telepítéséről. Forrás: Volexity

A támadások a közel-keleti politika szakértőit ​​célozzák világszerte, a Volexity pedig a legtöbb támadást európai és amerikai szakemberek ellen érte, mondja Adair.

„Elég agresszívak” – mondja. "Sőt egész e-mail láncokat vagy adathalász forgatókönyvet állítanak fel, ahol megjegyzéseket keresnek, és vannak más emberek is – talán három, négy vagy öt ember az e-mail szálon a cél kivételével -, és határozottan próbálkoznak. kapcsolatteremtésre.”

A hosszú con végül szállít egy hasznos terhet. A Volexity öt különböző rosszindulatú programcsaládot azonosított a fenyegetéssel kapcsolatban. A PowerLess hátsó ajtót a rosszindulatú programokkal teli virtuális magánhálózati (VPN) alkalmazás Windows-verziója telepíti, amely a PowerShell segítségével teszi lehetővé a fájlok átvitelét és végrehajtását, valamint a rendszer bizonyos adatainak célzását, a billentyűleütések naplózását és a képernyőképek rögzítését. . A kártevő macOS verziója a NokNok, míg egy különálló kártevő-lánc, amely RAR archívumot és LNK exploitot használ, egy Basicstar nevű hátsó ajtóhoz vezet.

A védekezés egyre nehezebbé válik

A csoport szociális tervezéshez való hozzáállása határozottan megtestesíti a fejlett tartós fenyegetés (APT) „perzisztencia” részét. A Volexity a támadások „állandó özönét” látja, ezért a szakpolitikai szakértőknek még gyanakvóbbá kell válniuk a hideg kapcsolatokkal szemben, mondja Adair.

Ezt nehéz lesz megtenni, mivel sok szakpolitikai szakértő akadémikus, aki állandó kapcsolatban áll hallgatókkal vagy a nyilvánossággal, és nincsenek hozzászokva ahhoz, hogy kapcsolataikkal szigorúak legyenek – mondja. Ennek ellenére mindenképpen gondolkodniuk kell, mielőtt megnyitnák a dokumentumokat, vagy bevinnének hitelesítő adatokat egy ismeretlen linken keresztül elért webhelyre.

„A nap végén rá kell venniük a személyt, hogy kattintson valamire vagy nyisson meg valamit, ami ha azt akarom, hogy átnézzen egy papírt vagy valami hasonlót, azt jelenti, hogy… nagyon óvatosnak kell lenni a hivatkozásokkal és fájlokkal” – mondja Adair. „Ha bármikor meg kell adnom a hitelesítő adataimat, vagy engedélyeznem kell valamit, az egy fontos piros zászló. Hasonlóképpen, ha arra kérnek, hogy töltsek le valamit, annak egy elég nagy piros zászlónak kell lennie.”

Ezenkívül a politikai szakértőknek meg kell érteniük, hogy a CharmingCypress továbbra is célba veszi őket, még akkor is, ha próbálkozásai kudarcot vallanak – szögezte le a Volexity. 

„Ez a fenyegetőző erősen elkötelezett a célpontjaik felügyelete mellett, hogy meghatározza, hogyan lehet a legjobban manipulálni őket és rosszindulatú programokat telepíteni” – áll a cég közleményében. "Ráadásul kevés más fenyegetettség szereplője következetesen annyi kampányt bonyolított le, mint a CharmingCypress, és emberi kezelőket áldozott folyamatos erőfeszítéseik támogatására."

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
• PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
• PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
• PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
• Forrás: https://www.darkreading.com/vulnerabilities-threats/iran-backed-charming-kitten-stages-fake-webinar-platform-to-ensnare-targets