中東、ウクライナ、その他の地政学的緊張が高まる地域での紛争により、政策専門家が国家支援団体によるサイバー作戦の最新の標的となっている。
Charming Kitten、CharmingCypress、APT42として知られるイラン関連のグループは、最近、この地域だけでなく米国やヨーロッパの中東政策の専門家もターゲットにし、偽のウェビナープラットフォームを使用して、ターゲットにした被害者であるインシデント対応サービス会社Volexityを侵害しました。今月発行された勧告で述べられています。
Charming Kitten は、政治情報を収集するためのシンクタンクやジャーナリストに対する低頻度のソーシャル エンジニアリング攻撃など、広範なソーシャル エンジニアリング戦術でよく知られていると同社は述べています。
このグループは、標的をだましてトロイの木馬が仕掛けられた VPN アプリケーションをインストールさせ、偽のウェビナー プラットフォームやその他のサイトにアクセスさせ、その結果マルウェアをインストールさせることがよくあります。 Volexity の共同創設者兼社長である Steven Adair 氏は、全体として、グループは長期にわたる信頼ゲームを受け入れてきたと述べています。
「それが必ずしも洗練され、高度なものであるかどうかはわかりませんが、大変な労力がかかります」と彼は言います。 「これは、平均的な攻撃よりも大幅に高度で洗練されています。これは、あるレベルの努力と献身です…これは明らかに異質であり、一般的ではありません…このような特定の一連の攻撃のために多大な労力を費やすことはありません。」
照準を合わせる地政学専門家
政策専門家は国民国家グループの標的となることがよくあります。の ロシア関連のコールドリバーグループたとえば、非政府組織、軍人、その他の専門家をターゲットに、ソーシャル エンジニアリングを使用して被害者の信頼を獲得し、悪意のあるリンクやマルウェアを追跡します。ヨルダンでは、政府機関によると伝えられる、標的を絞った搾取が行われている Pegasus スパイウェア プログラムを使用した NSO グループによって開発され、ジャーナリスト、デジタル権利弁護士、その他の政策専門家を対象としています。
他の企業も、Charming Kitten/CharmingCypress の戦術について説明しています。 1月の勧告では、 マイクロソフトは警告した ミント・サンドストームと呼ばれるこのグループは、イラン政府が関心のある安全保障や政策の話題を扱うジャーナリスト、研究者、教授、その他の専門家を標的にしていたとのこと。
「この Mint Sandstorm のサブグループに属するオペレーターは、忍耐強く高度なスキルを持つソーシャル エンジニアであり、その技術には、ユーザーがフィッシングメールを迅速に特定できる特徴の多くが欠けています」と Microsoft は述べています。 「このキャンペーンの一部の例では、このサブグループは、正規ではあるが侵害されたアカウントを使用してフィッシングルアーを送信しました。」
このグループは少なくとも 2013 年から活動しており、 イスラム革命防衛隊(IRGC)との強いつながりサイバーセキュリティ会社クラウドストライクによると、イスラエルとハマスの紛争のサイバー作戦面には直接関与していないという。
「既知のサイバー作戦が紛争に直接寄与したロシア・ウクライナ戦争とは異なり、イスラエル・ハマス紛争に関与した人々はハマスの対イスラエル軍事作戦に直接寄与していない」と同社は「2024年の世界的脅威」で述べている。レポート』を21月XNUMX日に発売した。
時間をかけて信頼関係を築く
によると、これらの攻撃は通常、スピアフィッシングで始まり、標的のシステムに配信されるマルウェアの組み合わせで終わります。 Volexity からのアドバイス、これはグループ CharmingCypress と呼ばれます。 2023 年 XNUMX 月と XNUMX 月に、チャーミング サイプレスは、多数のタイプミスで占有されたドメイン (正規のドメインに類似したアドレス) を使用して、イラン国際研究所 (IIIS) の職員を装い、政策専門家をウェビナーに招待しました。最初の電子メールでは、CharmingCypress のゆっくりとしたアプローチが示されており、悪意のあるリンクや添付ファイルを回避し、ターゲットとなった専門家に WhatsApp や Signal などの他の通信チャネルを通じて連絡を取るよう促していました。
CharmingCypress は、徹底的なスピアフィッシングを使用して、政策専門家にマルウェアをインストールするよう説得することを目指しています。出典: Volexity
アデア氏によると、攻撃は世界中の中東政策の専門家を標的にしており、Volexityは欧州と米国の専門家に対する攻撃の大半に遭遇しているという。
「彼らはかなり攻撃的です」と彼は言う。 「彼らはメールチェーン全体を設定したり、コメントを探しているときに他の人がいるフィッシングシナリオを設定したりすることもあります。そのメールスレッドにはターゲットを除いておそらく3人、4人、または5人がいるでしょう。彼らは間違いなく試みています」信頼関係を築くために。」
長いコンは最終的にペイロードを配信します。 Volexity は、脅威に関連する 5 つの異なるマルウェア ファミリを特定しました。 PowerLess バックドアは、マルウェアを満載した仮想プライベート ネットワーク (VPN) アプリケーションの Windows バージョンによってインストールされます。このアプリケーションは、PowerShell を使用してファイルの転送と実行を許可するだけでなく、システム上の特定のデータをターゲットにし、キーストロークを記録し、スクリーンショットをキャプチャすることもできます。 。このマルウェアの macOS バージョンは NokNok と呼ばれますが、RAR アーカイブと LNK エクスプロイトを使用する別のマルウェア チェーンは Basicstar という名前のバックドアにつながります。
守備がさらに難しくなる
このグループのソーシャル エンジニアリングへのアプローチは、明らかに、高度持続型脅威 (APT) の「持続性」部分を体現しています。 Volexityでは「絶え間ない攻撃」が見られるため、政策専門家はコールドコンタクトをさらに疑う必要があるとアデア氏は言う。
多くの政策専門家は学者であり、学生や一般の人々と常に接触しており、彼らとの接触を厳格にすることに慣れていないため、そうするのは難しいだろうと同氏は言う。しかし、ドキュメントを開いたり、未知のリンクからアクセスしたサイトに資格情報を入力したりする前に、必ずよく考えるべきです。
「結局のところ、ユーザーに何かをクリックさせたり、何かを開かせたりする必要があります。論文などをレビューしてもらいたい場合、これはリンクやファイルに対して非常に慎重になることを意味します」とアデア氏は言います。 「いつでも資格情報を入力したり、何かを承認したりする必要がある場合、それは重大な危険信号です。同様に、何かをダウンロードするように求められたら、それはかなり危険信号です。」
さらに、政策専門家は、たとえその試みが失敗したとしても、CharmingCypressが彼らを標的にし続けることを理解する必要があるとVolexityは述べた。
「この脅威アクターは、ターゲットを操作してマルウェアを展開する最善の方法を決定するために、ターゲットの監視を実施することに非常に熱心である」と同社は勧告で述べている。 「さらに、CharmingCypress ほど多くのキャンペーンを一貫して量産し、人間のオペレーターを専任にして継続的な取り組みをサポートしている脅威アクターは他にほとんどありません。」
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/vulnerabilities-threats/iran-backed-charming-kitten-stages-fake-webinar-platform-to-ensnare-targets
- :持っている
- :は
- :not
- :どこ
- $UP
- 2013
- 2023
- 2024
- 7
- 9
- a
- 学者
- アクセス
- 従った
- アカウント
- アクティブ
- 俳優
- 添加
- さらに
- アドレス
- 高度な
- アドバイザリー
- に対して
- 機関
- 積極的な
- 目指して
- 許す
- また
- an
- および
- どれか
- 申し込み
- アプローチ
- APT
- Archive
- です
- エリア
- AS
- 側面
- 関連する
- At
- 攻撃
- 攻撃
- 試み
- 認める
- 平均
- 裏口
- 弾幕
- BE
- になる
- になる
- き
- さ
- BEST
- の間に
- ビッグ
- ビルド
- 建物
- 焙煎が極度に未発達や過発達のコーヒーにて、クロロゲン酸の味わいへの影響は強くなり、金属を思わせる味わいと乾いたマウスフィールを感じさせます。
- by
- コール
- キャンペーン
- キャンペーン
- キャプチャ
- チェーン
- チェーン
- チャンネル
- クリック
- 共同創設者
- 冷たい
- 組み合わせ
- コメント
- コミットした
- 通信部
- 企業
- 会社
- 妥協
- 損害を受けた
- 実施
- 導電性
- 信頼
- 紛争
- 一貫して
- 定数
- 接触
- コンタクト
- 続ける
- 貢献
- 納得させる
- 軍団
- カバーする
- Credentials
- クロスヘア
- サイバー
- サイバーセキュリティ
- データ
- 中
- 献身
- ディフェンディング
- 絶対に
- 配信
- 提供します
- 実証
- 展開します
- 記載された
- 決定する
- 発展した
- 異なります
- 難しい
- 直接に
- ドキュメント
- ドメイン
- ドン
- ダウンロード
- ダビングされた
- 東
- 努力
- 努力
- メール
- 具現化する
- 受け入れ
- 遭遇
- end
- エンジニアリング
- エンジニア
- 入力します
- 入る
- 全体
- ヨーロッパ
- 欧州言語
- さらに
- 最終的に
- 例
- 例外
- 実行された
- 専門家
- 悪用する
- 搾取
- 広範囲
- フェイル
- 偽
- 家族
- 2月
- 少数の
- 会社
- 五
- フロー
- フォロー中
- 4
- 頻繁に
- から
- 利得
- ゲーム
- 集める
- 地政学的
- 取得する
- グローバル
- Go
- 政府・公共機関
- 政府機関
- グループ
- グループの
- ガード
- 持っていました
- ハマス
- 持ってる
- he
- 非常に
- 認定条件
- HTTPS
- 人間
- i
- 特定され
- 識別する
- if
- 画像
- in
- 綿密な
- 事件
- インシデント対応
- 含めて
- 初期
- install
- インストール
- インストール
- インストールする
- 機関
- インテリジェンス
- 関心
- 世界全体
- に
- 招待
- 招待する
- 関係する
- イラン人
- イスラム教の
- イスラエル
- IT
- ITS
- 1月
- ヨルダン
- ジャーナリスト
- 知っている
- 既知の
- 最新の
- 弁護士
- リード
- 最低
- 正当な
- レベル
- ような
- LINK
- リンク
- ll
- ロギング
- 長い
- 探して
- たくさん
- MacOSの
- 製
- 主要な
- 大多数
- 悪意のある
- マルウェア
- 多くの
- マージン
- 多分
- 手段
- メンバー
- Microsoft
- 真ん中
- 中東
- ミリタリー用(軍用)機材
- ミント
- 月
- 他には?
- ずっと
- my
- 名前付き
- 必ずしも
- 必要
- ネットワーク
- 非政府組織
- 数
- 10月
- of
- 役員
- 関係者
- 頻繁に
- on
- 継続
- 開いた
- 開設
- 業務執行統括
- 演算子
- or
- 注文
- 組織
- その他
- でる
- が
- 全体
- 紙素材
- 患者
- Pegasus
- のワークプ
- 持続性
- 人
- フィッシング詐欺
- 偽物
- ピース
- プラットフォーム
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- ポイント
- 方針
- 政治的
- ポーズ
- PowerShellの
- 社長
- かなり
- プライベート
- プロ
- 専門家
- 公共
- 公表
- すぐに
- 非常に
- RE
- リーチ
- 達した
- 最近
- レッド
- 地域
- リリース
- レポート
- 報道によると
- 研究者
- 応答
- 結果として
- レビュー
- 革新的な
- ロシア-ウクライナ戦争
- s
- 言う
- シナリオ
- スクリーンショット
- セキュリティ
- 見て
- 送信
- 別
- 9月
- サービス
- セッションに
- すべき
- シグナル
- 重要
- 同様の
- 同様に
- から
- ウェブサイト
- サイト
- 熟練した
- So
- 社会
- ソーシャルエンジニアリング
- 一部
- 何か
- 洗練された
- ソース
- 特定の
- スポンサー
- スパイウェア
- ステージ
- start
- 明記
- スティーブン
- 厳格な
- 生徒
- 研究
- そのような
- サポート
- 監視
- 疑わしい
- 戦術
- タンク
- ターゲット
- 対象となります
- ターゲット
- ターゲット
- 緊張
- より
- それ
- アプリ環境に合わせて
- それら
- その後
- そこ。
- 彼ら
- 考える
- この
- それらの
- 脅威
- 脅威アクター
- 脅威レポート
- 三
- 介して
- 時間
- 〜へ
- トピック
- 転送
- しよう
- Ukraine
- アンコモン
- わかる
- 未知の
- 異なり、
- us
- 中古
- users
- 使用されます
- 通常
- バージョン
- 非常に
- 被害者
- 犠牲者
- バーチャル
- VPN
- 欲しいです
- 戦争
- WELL
- which
- while
- その
- 意志
- ウィンドウズ
- まだ
- You
- あなたの
- ゼファーネット