イラン支援の魅力的な子猫が偽のウェビナープラットフォームを演出してターゲットを罠にかける

中東、ウクライナ、その他の地政学的緊張が高まる地域での紛争により、政策専門家が国家支援団体によるサイバー作戦の最新の標的となっている。 

Charming Kitten、CharmingCypress、APT42として知られるイラン関連のグループは、最近、この地域だけでなく米国やヨーロッパの中東政策の専門家もターゲットにし、偽のウェビナープラットフォームを使用して、ターゲットにした被害者であるインシデント対応サービス会社Volexityを侵害しました。今月発行された勧告で述べられています。

Charming Kitten は、政治情報を収集するためのシンクタンクやジャーナリストに対する低頻度のソーシャル エンジニアリング攻撃など、広範なソーシャル エンジニアリング戦術でよく知られていると同社は述べています。 

このグループは、標的をだましてトロイの木馬が仕掛けられた VPN アプリケーションをインストールさせ、偽のウェビナー プラットフォームやその他のサイトにアクセスさせ、その結果マルウェアをインストールさせることがよくあります。 Volexity の共同創設者兼社長である Steven Adair 氏は、全体として、グループは長期にわたる信頼ゲームを受け入れてきたと述べています。

「それが必ずしも洗練され、高度なものであるかどうかはわかりませんが、大変な労力がかかります」と彼は言います。 「これは、平均的な攻撃よりも大幅に高度で洗練されています。これは、あるレベルの努力と献身です…これは明らかに異質であり、一般的ではありません…このような特定の一連の攻撃のために多大な労力を費やすことはありません。」

照準を合わせる地政学専門家

政策専門家は国民国家グループの標的となることがよくあります。の ロシア関連のコールドリバーグループたとえば、非政府組織、軍人、その他の専門家をターゲットに、ソーシャル エンジニアリングを使用して被害者の信頼を獲得し、悪意のあるリンクやマルウェアを追跡します。ヨルダンでは、政府機関によると伝えられる、標的を絞った搾取が行われている Pegasus スパイウェア プログラムを使用した NSO グループによって開発され、ジャーナリスト、デジタル権利弁護士、その他の政策専門家を対象としています。 

他の企業も、Charming Kitten/CharmingCypress の戦術について説明しています。 1月の勧告では、 マイクロソフトは警告した ミント・サンドストームと呼ばれるこのグループは、イラン政府が関心のある安全保障や政策の話題を扱うジャーナリスト、研究者、教授、その他の専門家を標的にしていたとのこと。

「この Mint Sandstorm のサブグループに属するオペレーターは、忍耐強く高度なスキルを持つソーシャル エンジニアであり、その技術には、ユーザーがフィッシングメールを迅速に特定できる特徴の多くが欠けています」と Microsoft は述べています。 「このキャンペーンの一部の例では、このサブグループは、正規ではあるが侵害されたアカウントを使用してフィッシングルアーを送信しました。」

このグループは少なくとも 2013 年から活動しており、 イスラム革命防衛隊（IRGC）との強いつながりサイバーセキュリティ会社クラウドストライクによると、イスラエルとハマスの紛争のサイバー作戦面には直接関与していないという。 

「既知のサイバー作戦が紛争に直接寄与したロシア・ウクライナ戦争とは異なり、イスラエル・ハマス紛争に関与した人々はハマスの対イスラエル軍事作戦に直接寄与していない」と同社は「2024年の世界的脅威」で述べている。レポート』を21月XNUMX日に発売した。

時間をかけて信頼関係を築く

によると、これらの攻撃は通常、スピアフィッシングで始まり、標的のシステムに配信されるマルウェアの組み合わせで終わります。 Volexity からのアドバイス、これはグループ CharmingCypress と呼ばれます。 2023 年 XNUMX 月と XNUMX 月に、チャーミング サイプレスは、多数のタイプミスで占有されたドメイン (正規のドメインに類似したアドレス) を使用して、イラン国際研究所 (IIIS) の職員を装い、政策専門家をウェビナーに招待しました。最初の電子メールでは、CharmingCypress のゆっくりとしたアプローチが示されており、悪意のあるリンクや添付ファイルを回避し、ターゲットとなった専門家に WhatsApp や Signal などの他の通信チャネルを通じて連絡を取るよう促していました。 

CharmingCypress は、徹底的なスピアフィッシングを使用して、政策専門家にマルウェアをインストールするよう説得することを目指しています。出典: Volexity

アデア氏によると、攻撃は世界中の中東政策の専門家を標的にしており、Volexityは欧州と米国の専門家に対する攻撃の大半に遭遇しているという。

「彼らはかなり攻撃的です」と彼は言う。 「彼らはメールチェーン全体を設定したり、コメントを探しているときに他の人がいるフィッシングシナリオを設定したりすることもあります。そのメールスレッドにはターゲットを除いておそらく3人、4人、または5人がいるでしょう。彼らは間違いなく試みています」信頼関係を築くために。」

長いコンは最終的にペイロードを配信します。 Volexity は、脅威に関連する 5 つの異なるマルウェア ファミリを特定しました。 PowerLess バックドアは、マルウェアを満載した仮想プライベート ネットワーク (VPN) アプリケーションの Windows バージョンによってインストールされます。このアプリケーションは、PowerShell を使用してファイルの転送と実行を許可するだけでなく、システム上の特定のデータをターゲットにし、キーストロークを記録し、スクリーンショットをキャプチャすることもできます。 。このマルウェアの macOS バージョンは NokNok と呼ばれますが、RAR アーカイブと LNK エクスプロイトを使用する別のマルウェア チェーンは Basicstar という名前のバックドアにつながります。

守備がさらに難しくなる

このグループのソーシャル エンジニアリングへのアプローチは、明らかに、高度持続型脅威 (APT) の「持続性」部分を体現しています。 Volexityでは「絶え間ない攻撃」が見られるため、政策専門家はコールドコンタクトをさらに疑う必要があるとアデア氏は言う。

多くの政策専門家は学者であり、学生や一般の人々と常に接触しており、彼らとの接触を厳格にすることに慣れていないため、そうするのは難しいだろうと同氏は言う。しかし、ドキュメントを開いたり、未知のリンクからアクセスしたサイトに資格情報を入力したりする前に、必ずよく考えるべきです。

「結局のところ、ユーザーに何かをクリックさせたり、何かを開かせたりする必要があります。論文などをレビューしてもらいたい場合、これはリンクやファイルに対して非常に慎重になることを意味します」とアデア氏は言います。 「いつでも資格情報を入力したり、何かを承認したりする必要がある場合、それは重大な危険信号です。同様に、何かをダウンロードするように求められたら、それはかなり危険信号です。」

さらに、政策専門家は、たとえその試みが失敗したとしても、CharmingCypressが彼らを標的にし続けることを理解する必要があるとVolexityは述べた。 

「この脅威アクターは、ターゲットを操作してマルウェアを展開する最善の方法を決定するために、ターゲットの監視を実施することに非常に熱心である」と同社は勧告で述べている。 「さらに、CharmingCypress ほど多くのキャンペーンを一貫して量産し、人間のオペレーターを専任にして継続的な取り組みをサポートしている脅威アクターは他にほとんどありません。」

• SEO を活用したコンテンツと PR 配信。 今日増幅されます。
• PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
• プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
• プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
• プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
• 情報源： https://www.darkreading.com/vulnerabilities-threats/iran-backed-charming-kitten-stages-fake-webinar-platform-to-ensnare-targets