חתלתולים מקסימים, הנתמכים על ידי איראן, משלבים פלטפורמת סמינרים מזויפים כדי ללכוד יעדים

קונפליקטים במזרח התיכון, אוקראינה ואזורים אחרים של מתחים גיאופוליטיים גוערים הפכו את מומחי המדיניות ליעד האחרון של פעולות סייבר שנערכו על ידי קבוצות בחסות המדינה. 

קבוצה הקשורה לאיראן - הידועה בשם Charming Kitten, CharmingCypress ו-APT42 - פנתה לאחרונה למומחי מדיניות במזרח התיכון באזור וכן בארה"ב ואירופה, תוך שימוש בפלטפורמת סמינרים מקוונים כדי לסכן את הקורבנות הממוקדים שלה, חברת שירותי התגובה לאירועים Volexity כך נאמר בייעוץ שפורסם החודש.

החתלתול המקסים ידוע בטקטיקות ההנדסה החברתיות הנרחבות שלו, כולל התקפות הנדסה חברתית נמוכות ואיטיות נגד צוותי חשיבה ועיתונאים כדי לאסוף מודיעין פוליטי, הצהירה החברה. 

הקבוצה מטעה לעתים קרובות מטרות להתקנת אפליקציות VPN מזויפות טרויאניות כדי לקבל גישה לפלטפורמת הוובינר המזויף ולאתרים אחרים, וכתוצאה מכך להתקנת תוכנות זדוניות. בסך הכל, הקבוצה אימצה את משחק הביטחון הארוך, אומר Steven Adair, מייסד שותף ונשיא Volexity.

"אני לא יודע אם זה בהכרח מתוחכם ומתקדם, אבל זה הרבה מאמץ", הוא אומר. "זה יותר מתקדם ומתוחכם מההתקפה הממוצעת שלך בהפרש משמעותי. זו רמה של מאמץ ומסירות... שהיא בהחלט שונה ולא שכיחה... להתאמץ כל כך עבור מערך כל כך ספציפי של התקפות."

מומחים גיאופוליטיים על הכוונת

מומחי מדיניות ממוקדים לעתים קרובות על ידי קבוצות של מדינות לאום. ה קבוצת ColdRiver המקושרת לרוסיה, למשל, התמקדה בארגונים לא ממשלתיים, קציני צבא ומומחים אחרים המשתמשים בהנדסה חברתית כדי להשיג את אמון הקורבן ולאחר מכן עוקב אחר קישור זדוני או תוכנה זדונית. בירדן, ניצול ממוקד - לפי הדיווחים על ידי סוכנויות ממשלתיות - השתמש בתוכנת הריגול Pegasus פותח על ידי קבוצת NSO ומיועד לעיתונאים, עורכי דין לזכויות דיגיטליות ומומחי מדיניות אחרים. 

חברות אחרות תיארו גם את הטקטיקות של Charming Kitten/CharmingCypress. בייעוץ בינואר, מיקרוסופט הזהירה שהקבוצה, שאותה היא מכנה Mint Sandstorm, פנתה לעיתונאים, חוקרים, פרופסורים ומומחים אחרים שסיקרו נושאי ביטחון ומדיניות המעניינים את ממשלת איראן.

"מפעילים הקשורים לתת-קבוצה זו של Mint Sandstorm הם מהנדסים חברתיים סבלניים ומיומנים ביותר, שלמלאכת המקצוע שלהם חסרים רבים מסימני ההיכר המאפשרים למשתמשים לזהות במהירות הודעות דיוג", הצהירה מיקרוסופט. "במקרים מסוימים של מסע הפרסום הזה, תת-קבוצה זו השתמשה גם בחשבונות לגיטימיים אך נפגעים כדי לשלוח פתיונות דיוג."

הקבוצה פעילה לפחות משנת 2013 קשרים חזקים למשמרות המהפכה האסלאמית (IRGC), ולא היה מעורב ישירות בהיבט הסייבר-מבצעי של הסכסוך בין ישראל לחמאס, לפי חברת אבטחת הסייבר CrowdStrike. 

"בניגוד למלחמת רוסיה-אוקראינה, שבה פעולות סייבר ידועות תרמו ישירות לסכסוך, המעורבים בסכסוך ישראל-חמאס לא תרמו ישירות לפעולות הצבאיות של חמאס נגד ישראל", ציינה החברה ב"איום עולמי 2024 דוח" שפורסם ב-21 בפברואר.

בניית קשר לאורך זמן

התקפות אלו מתחילות בדרך כלל ב-Spear-phishing ומסתיימות בשילוב של תוכנות זדוניות המועברות למערכת של היעד, על פי ייעוץ מ- Volexity, שמכנה את הקבוצה CharmingCypress. בספטמבר ואוקטובר 2023, CharmingCypress השתמשה במספר שגיאות כתיב של דומיינים - כתובות דומות לדומיינים לגיטימיים - כדי להתחזות לפקידים מהמכון הבינלאומי ללימודי איראן (IIIS) כדי להזמין מומחי מדיניות לסמינר מקוון. המייל הראשוני הדגים את הגישה הנמוכה והאיטית של CharmingCypress, נמנעת מכל קישור או קובץ מצורף זדוני והזמינה את איש המקצוע הממוקד לפנות דרך ערוצי תקשורת אחרים, כגון WhatsApp ו-Signal. 

באמצעות שימוש בחנית מעמיקה, CharmingCypress שואפת לשכנע מומחי מדיניות להתקין תוכנות זדוניות. מקור: Volexity

ההתקפות מכוונות למומחי מדיניות במזרח התיכון ברחבי העולם, כאשר Volexity נתקלת ברוב ההתקפות נגד אנשי מקצוע אירופאים וארה"ב, אומר אדאיר.

"הם די אגרסיביים", הוא אומר. "הם אפילו יקימו רשתות דוא"ל שלמות או תרחיש פישינג שבו הם מחפשים תגובה ויש אנשים אחרים - אולי שלושה, ארבעה או חמישה אנשים בשרשור האימייל הזה למעט היעד - הם בהחלט מנסים לבנות קרבה".

הקון הארוך מספק בסופו של דבר מטען. Volexity זיהה חמש משפחות תוכנות זדוניות שונות הקשורות לאיום. הדלת האחורית PowerLess מותקנת על ידי גרסת Windows של אפליקציית הרשת הווירטואלית הפרטית (VPN) עמוסת תוכנות זדוניות, המשתמשת ב-PowerShell כדי לאפשר העברה וביצוע של קבצים, כמו גם מיקוד לנתונים ספציפיים במערכת, רישום הקשות ולכידת צילומי מסך . גרסת macOS של התוכנה הזדונית מכונה NokNok, בעוד שרשרת תוכנות זדוניות נפרדת המשתמשת בארכיון RAR וניצול LNK מובילה לדלת אחורית בשם Basicstar.

ההגנה הופכת לקשה יותר

הגישה של הקבוצה להנדסה חברתית בהחלט מגלמת את חלקת "ההתמדה" של האיום המתמשך המתקדם (APT). Volexity רואה "מטח מתמיד" של התקפות, ולכן מומחי מדיניות צריכים לחשוד עוד יותר במגעים קרים, אומר אדיר.

לעשות זאת יהיה קשה, שכן מומחי מדיניות רבים הם אקדמאים בקשר מתמיד עם סטודנטים או אנשי ציבור ואינם רגילים להקפיד על המגעים שלהם, הוא אומר. עם זאת, הם בהחלט צריכים לחשוב לפני פתיחת מסמכים או הזנת אישורים לאתר אליו מגיעים דרך קישור לא ידוע.

"בסופו של יום, הם צריכים לגרום לאדם ללחוץ על משהו או לפתוח משהו, שאם אני רוצה שתעיין במאמר או משהו כזה, זה אומר... להיזהר מאוד מקישורים וקבצים", אומר אדיר. "אם אני צריך להזין את האישורים שלי בכל נקודת זמן, או לאשר משהו - זה צריך להיות דגל אדום מרכזי. באופן דומה, אם מבקשים ממני להוריד משהו, זה אמור להיות דגל אדום די גדול."

בנוסף, מומחי מדיניות צריכים להבין ש-CharmingCypress תמשיך למקד אותם גם אם ניסיונותיה ייכשלו, קבעה Volexity. 

"שחקן האיום הזה מחויב מאוד לבצע מעקב אחר המטרות שלהם כדי לקבוע כיצד לתמרן אותם ולפרוס תוכנות זדוניות בצורה הטובה ביותר", הצהירה החברה בייעוץ שלה. "בנוסף, מעט גורמי איומים אחרים הוציאו בעקביות קמפיינים רבים כמו CharmingCypress, והקדישו מפעילים אנושיים לתמוך במאמצים המתמשכים שלהם."

• הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
• PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
• PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
• PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
• PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
• מקור: https://www.darkreading.com/vulnerabilities-threats/iran-backed-charming-kitten-stages-fake-webinar-platform-to-ensnare-targets