L'affascinante gattino sostenuto dall'Iran mette in scena una falsa piattaforma di webinar per intrappolare gli obiettivi

I conflitti in Medio Oriente, Ucraina e altre aree di tensioni geopolitiche latenti hanno reso gli esperti politici l’ultimo obiettivo delle operazioni informatiche condotte da gruppi sponsorizzati dallo stato. 

Un gruppo legato all’Iran – noto come Charming Kitten, CharmingCypress e APT42 – ha recentemente preso di mira esperti di politica mediorientale nella regione, negli Stati Uniti e in Europa, utilizzando una piattaforma webinar fasulla per compromettere le sue vittime mirate, la società di servizi di risposta agli incidenti Volexity si legge in un avviso pubblicato questo mese.

Charming Kitten è ben nota per le sue estese tattiche di ingegneria sociale, inclusi attacchi di ingegneria sociale lenti e lenti contro think tank e giornalisti per raccogliere informazioni politiche, ha affermato l'azienda. 

Il gruppo spesso inganna gli obiettivi inducendoli a installare applicazioni VPN truccate da trojan per ottenere l'accesso alla falsa piattaforma webinar e ad altri siti, con conseguente installazione di malware. Nel complesso, il gruppo ha abbracciato il lungo gioco della fiducia, afferma Steven Adair, cofondatore e presidente di Volexity.

"Non so se ciò sia necessariamente sofisticato e avanzato, ma richiede un grande sforzo", afferma. “È molto più avanzato e sofisticato dell'attacco medio, con un margine significativo. È un livello di impegno e dedizione... decisamente diverso e insolito... impegnarsi così tanto per una serie di attacchi così specifici."

Esperti geopolitici nel mirino

Gli esperti politici sono spesso presi di mira dai gruppi degli stati-nazione. IL Gruppo ColdRiver legato alla Russia, ad esempio, ha preso di mira organizzazioni non governative, ufficiali militari e altri esperti che utilizzano l'ingegneria sociale per guadagnarsi la fiducia della vittima e poi utilizzano un collegamento dannoso o un malware. In Giordania, lo sfruttamento mirato – secondo quanto riferito da parte di agenzie governative – utilizzato il programma spyware Pegasus sviluppato dal gruppo NSO e mirato a giornalisti, avvocati specializzati in diritti digitali e altri esperti politici. 

Anche altre società hanno descritto le tattiche di Charming Kitten/CharmingCypress. In un avviso di gennaio, Microsoft ha avvertito che il gruppo, che chiama Mint Sandstorm, aveva preso di mira giornalisti, ricercatori, professori e altri esperti che si occupavano di argomenti politici e di sicurezza di interesse per il governo iraniano.

"Gli operatori associati a questo sottogruppo di Mint Sandstorm sono ingegneri sociali pazienti e altamente qualificati la cui attività commerciale è priva di molte delle caratteristiche che consentono agli utenti di identificare rapidamente le e-mail di phishing", ha affermato Microsoft. "In alcuni casi di questa campagna, questo sottogruppo ha utilizzato anche account legittimi ma compromessi per inviare esche di phishing."

Il gruppo è attivo almeno dal 2013 forti legami con il Corpo delle Guardie della Rivoluzione Islamica (IRGC), e non è stato direttamente coinvolto nell'aspetto cyber-operativo del conflitto tra Israele e Hamas, secondo la società di sicurezza informatica CrowdStrike. 

“A differenza della guerra Russia-Ucraina, dove le note operazioni informatiche hanno contribuito direttamente al conflitto, le persone coinvolte nel conflitto Israele-Hamas non hanno contribuito direttamente alle operazioni militari di Hamas contro Israele”, ha affermato la società nel suo rapporto “2024 Global Threat Report” pubblicato il 21 febbraio.

Costruire un rapporto nel tempo

Secondo quanto riferito, questi attacchi iniziano solitamente con lo spear-phishing e terminano con una combinazione di malware recapitata al sistema del bersaglio un avviso da Volexity, che chiama il gruppo CharmingCypress. A settembre e ottobre 2023, CharmingCypress ha utilizzato una serie di domini pieni di errori di battitura (indirizzi simili a domini legittimi) per fingere di essere funzionari dell'Istituto internazionale di studi iraniani (IIIS) per invitare esperti politici a un webinar. L'e-mail iniziale dimostrava l'approccio lento e lento di CharmingCypress, evitando qualsiasi collegamento o allegato dannoso e invitando il professionista preso di mira a mettersi in contatto attraverso altri canali di comunicazione, come WhatsApp e Signal. 

Utilizzando uno spearphishing approfondito, CharmingCypress mira a convincere gli esperti di policy a installare malware. Fonte: Volexità

Gli attacchi prendono di mira esperti politici del Medio Oriente in tutto il mondo, e Volexity ha riscontrato la maggior parte degli attacchi contro professionisti europei e statunitensi, afferma Adair.

"Sono piuttosto aggressivi", dice. "Creano anche intere catene di posta elettronica o uno scenario di phishing in cui cercano commenti e ci sono altre persone - forse tre, quattro o cinque persone in quel thread di posta elettronica con l'eccezione della vittima - che stanno sicuramente provando per costruire un rapporto”.

La lunga truffa alla fine fornisce un carico utile. Volexity ha identificato cinque diverse famiglie di malware associate alla minaccia. La backdoor PowerLess viene installata dalla versione Windows dell'applicazione VPN (Virtual Private Network) carica di malware, che utilizza PowerShell per consentire il trasferimento e l'esecuzione dei file, oltre a prendere di mira dati specifici sul sistema, registrare le sequenze di tasti e acquisire schermate . Una versione macOS del malware è denominata NokNok, mentre una catena di malware separata che utilizza un archivio RAR e un exploit LNK porta a una backdoor denominata Basicstar.

La difesa diventa più difficile

L'approccio del gruppo all'ingegneria sociale incarna sicuramente la componente “persistenza” dell'Advanced Persistent Threat (APT). Volexity vede una “raffica costante” di attacchi, quindi gli esperti politici devono diventare ancora più sospettosi nei confronti dei contatti freddi, dice Adair.

Farlo sarà difficile, poiché molti esperti politici sono accademici in costante contatto con studenti o membri del pubblico e non sono abituati a essere severi con i loro contatti, dice. Eppure dovrebbero assolutamente riflettere prima di aprire documenti o inserire credenziali in un sito raggiunto tramite un collegamento sconosciuto.

"Alla fine, devono convincere la persona a fare clic su qualcosa o ad aprire qualcosa, il che, se voglio che tu riveda un documento o qualcosa del genere, significa... essere molto diffidente nei confronti di collegamenti e file", afferma Adair. “Se dovessi inserire le mie credenziali in qualsiasi momento o autorizzare qualcosa, dovrebbe essere un grave campanello d’allarme. Allo stesso modo, se mi viene chiesto di scaricare qualcosa, dovrebbe essere un grosso campanello d'allarme."

Inoltre, gli esperti politici devono capire che CharmingCypress continuerà a prenderli di mira anche se i suoi tentativi falliscono, ha affermato Volexity. 

"Questo attore della minaccia è fortemente impegnato a condurre la sorveglianza sui propri obiettivi al fine di determinare il modo migliore per manipolarli e distribuire malware", ha affermato la società nel suo avviso. "Inoltre, pochi altri autori di minacce hanno costantemente sfornato così tante campagne come CharmingCypress, dedicando operatori umani a sostenere i loro sforzi in corso."

• Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
• PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
• PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
• PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
• Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
• Fonte: https://www.darkreading.com/vulnerabilities-threats/iran-backed-charming-kitten-stages-fake-webinar-platform-to-ensnare-targets