이란의 지원을 받는 매력적인 새끼 고양이가 표적을 함정에 빠뜨리기 위해 가짜 웹 세미나 플랫폼을 선보입니다.

중동, 우크라이나 및 기타 지정학적 긴장이 고조된 지역의 갈등으로 인해 정책 전문가는 국가 후원 그룹이 수행하는 사이버 작전의 최신 표적이 되었습니다. 

Charming Kitten, CharmingCypress 및 APT42로 알려진 이란과 연계된 그룹은 최근 미국 및 유럽뿐만 아니라 해당 지역의 중동 정책 전문가를 표적으로 삼아 가짜 웹 세미나 플랫폼을 사용하여 표적 피해자인 사고 대응 서비스 회사인 Volexity를 손상시켰습니다. 이번 달에 발표된 권고에 명시되어 있습니다.

Charming Kitten은 정치적 정보를 수집하기 위해 싱크 탱크와 언론인을 대상으로 하는 느리고 느린 사회 공학 공격을 포함하여 광범위한 사회 공학 전술로 잘 알려져 있다고 회사는 밝혔습니다. 

이 그룹은 종종 가짜 웨비나 플랫폼 및 기타 사이트에 액세스하기 위해 트로이 목마로 조작된 VPN 애플리케이션을 설치하도록 속여서 악성 코드를 설치합니다. 전반적으로 그룹은 오랜 신뢰 게임을 받아들였다고 Volexity의 공동 창립자이자 사장인 Steven Adair는 말합니다.

“그것이 반드시 정교하고 발전된 것인지는 모르겠지만, 많은 노력이 필요합니다.”라고 그는 말합니다. “평균 공격보다 훨씬 더 발전되고 정교합니다. 그러한 특정 공격 세트에 그렇게 많은 노력을 기울이는 것은 확실히 다르고 흔하지 않은 노력과 헌신의 수준입니다.”

십자선의 지정학적 전문가

정책 전문가는 국가 집단의 표적이 되는 경우가 많습니다. 그만큼 러시아와 연계된 ColdRiver 그룹예를 들어, 는 피해자의 신뢰를 얻기 위해 사회 공학을 사용하여 비정부 조직, 군 장교 및 기타 전문가를 표적으로 삼은 다음 악성 링크나 악성 코드로 후속 조치를 취했습니다. 요르단에서는 정부 기관에 의한 표적 착취가 발생했다고 합니다. Pegasus 스파이웨어 프로그램을 사용했습니다. NSO 그룹과 대상 언론인, 디지털 권리 변호사 및 기타 정책 전문가가 개발했습니다. 

다른 회사들도 Charming Kitten/CharmingCypress의 전술을 설명했습니다. 1월 권고에서는 마이크로소프트는 경고했다 Mint Sandstorm이라고 불리는 이 그룹은 이란 정부가 관심을 갖고 있는 보안 및 정책 주제를 다루는 언론인, 연구원, 교수 및 기타 전문가를 표적으로 삼았습니다.

“Mint Sandstorm의 이 하위 그룹과 관련된 운영자는 사용자가 피싱 이메일을 신속하게 식별할 수 있는 많은 특징이 부족한 기술을 갖춘 인내심 있고 고도로 숙련된 사회 엔지니어입니다.”라고 Microsoft는 말했습니다. “이 캠페인의 일부 사례에서 이 하위 그룹은 합법적이지만 손상된 계정을 사용하여 피싱 미끼를 보냈습니다.”

이 그룹은 적어도 2013년부터 활동해 왔으며, 이슬람혁명수비대(IRGC)와 강력한 유대관계사이버 보안 회사 CrowdStrike에 따르면 이스라엘과 하마스 간의 분쟁의 사이버 작전 측면에 직접 관여하지 않았습니다. 

"알려진 사이버 작전이 직접적으로 분쟁에 기여한 러시아-우크라이나 전쟁과 달리, 이스라엘-하마스 분쟁에 연루된 사람들은 이스라엘에 대한 하마스의 군사 작전에 직접적으로 기여하지 않았습니다."라고 회사는 "2024 글로벌 위협"에서 밝혔습니다. 보고서'가 21월 XNUMX일 공개됐다.

시간이 지남에 따라 관계 구축

이러한 공격은 일반적으로 스피어 피싱으로 시작하여 대상 시스템에 전달되는 악성 코드의 조합으로 끝납니다. Volexity의 조언, CharmingCypress라는 그룹을 호출합니다. 2023년 XNUMX월과 XNUMX월에 CharmingCypress는 합법적인 도메인과 유사한 주소로 오타가 있는 여러 도메인을 사용하여 IIIS(International Institute of Iranian Studies)의 관계자로 가장하여 정책 전문가를 웹 세미나에 초대했습니다. 초기 이메일에서는 악의적인 링크나 첨부 파일을 피하고 대상 전문가가 WhatsApp 및 Signal과 같은 다른 통신 채널을 통해 연락하도록 초대하는 CharmingCypress의 느리고 느린 접근 방식을 보여주었습니다. 

CharmingCypress는 심층적인 스피어피싱을 사용하여 정책 전문가가 악성 코드를 설치하도록 설득하는 것을 목표로 합니다. 출처: Volexity

이번 공격은 전 세계 중동 정책 전문가를 표적으로 삼았으며 Volexity는 유럽과 미국 전문가를 대상으로 한 공격이 대부분이었다고 Adair는 말했습니다.

“그들은 상당히 공격적입니다.”라고 그는 말합니다. “그들은 전체 이메일 체인을 설정하거나 댓글을 찾고 다른 사람이 있는 피싱 시나리오를 설정할 수도 있습니다. 대상을 제외하고 해당 이메일 스레드에 3, 4, 5명이 있을 수 있습니다. 그들은 분명히 노력하고 있습니다. 관계를 구축하기 위해.”

long con은 결국 페이로드를 전달합니다. Volexity는 위협과 관련된 5개의 서로 다른 악성 코드군을 식별했습니다. PowerLess 백도어는 악성 코드가 포함된 VPN(가상 사설망) 애플리케이션의 Windows 버전에 의해 설치됩니다. 이 애플리케이션은 PowerShell을 사용하여 파일 전송 및 실행을 허용할 뿐만 아니라 시스템의 특정 데이터를 대상으로 지정하고 키 입력을 기록하며 스크린샷을 캡처할 수 있습니다. . 이 악성코드의 macOS 버전은 NokNok이라고 불리며, RAR 아카이브와 LNK 익스플로잇을 사용하는 별도의 악성코드 체인은 Basicstar라는 백도어로 이어집니다.

수비가 더욱 어려워진다

사회 공학에 대한 그룹의 접근 방식은 APT(Advanced Persistency Threat)의 "지속성" 부분을 확실히 구현합니다. Volexity는 공격이 "지속적으로 발생"하고 있으므로 정책 전문가는 냉대 접촉을 더욱 의심해야 한다고 Adair는 말합니다.

그는 많은 정책 전문가들이 학생이나 대중과 지속적으로 접촉하는 학자이고 접촉을 엄격하게 하는 데 익숙하지 않기 때문에 그렇게 하는 것이 어려울 것이라고 말했습니다. 하지만 문서를 열거나 알 수 없는 링크를 통해 연결된 사이트에 자격 증명을 입력하기 전에는 확실히 생각해야 합니다.

Adair는 "결국에는 사용자가 무언가를 클릭하거나 열도록 해야 합니다. 즉, 논문이나 그와 유사한 것을 검토하라는 것은 링크와 파일을 매우 조심해야 한다는 의미입니다."라고 Adair는 말합니다. “언제든지 자격 증명을 입력해야 하거나 무언가를 승인해야 한다면 이는 중대한 위험 신호가 되어야 합니다. 마찬가지로, 뭔가를 다운로드하라는 요청을 받는다면 이는 꽤 큰 경고 신호일 것입니다.”

또한 정책 전문가들은 CharmingCypress가 시도가 실패하더라도 계속해서 그들을 표적으로 삼을 것이라는 점을 이해해야 한다고 Volexity는 말했습니다. 

회사는 권고문에서 “이 위협 행위자는 대상을 조작하고 악성 코드를 배포하는 최선의 방법을 결정하기 위해 대상을 감시하는 데 전념하고 있습니다.”라고 밝혔습니다. “게다가 CharmingCypress만큼 지속적으로 많은 캠페인을 벌여 인간 운영자가 지속적인 노력을 지원하도록 하는 위협 행위자는 거의 없습니다.”

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
• PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
• PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
• 출처: https://www.darkreading.com/vulnerabilities-threats/iran-backed-charming-kitten-stages-fake-webinar-platform-to-ensnare-targets