Door Iran gesteund charmant katje zet een nep-webinarplatform op om doelwitten in de val te lokken

Conflicten in het Midden-Oosten, Oekraïne en andere gebieden met sluimerende geopolitieke spanningen hebben beleidsexperts tot het nieuwste doelwit gemaakt van cyberoperaties uitgevoerd door door de staat gesponsorde groepen. 

Een aan Iran gelinkte groep – bekend als Charming Kitten, CharmingCypress en APT42 – richtte zich onlangs op beleidsexperts uit het Midden-Oosten in de regio, maar ook in de VS en Europa, met behulp van een nep-webinarplatform om de beoogde slachtoffers in gevaar te brengen, incidentresponsdienstverlener Volexity Dat staat in een advies dat deze maand werd gepubliceerd.

Charming Kitten staat bekend om zijn uitgebreide social engineering-tactieken, waaronder low-and-slow social engineering-aanvallen op denktanks en journalisten om politieke informatie te verzamelen, aldus het bedrijf. 

De groep misleidt vaak doelwitten bij het installeren van met Trojaanse paarden gemanipuleerde VPN-applicaties om toegang te krijgen tot het nep-webinarplatform en andere sites, wat resulteert in de installatie van malware. Over het geheel genomen heeft de groep het spel van lang vertrouwen omarmd, zegt Steven Adair, medeoprichter en president van Volexity.

"Ik weet niet of dat noodzakelijkerwijs geavanceerd en geavanceerd is, maar het kost veel moeite", zegt hij. “Het is met een aanzienlijke marge geavanceerder en geavanceerder dan de gemiddelde aanval. Het is een niveau van inspanning en toewijding... dat is absoluut anders en ongewoon... om zoveel moeite te doen voor zo'n specifieke reeks aanvallen.'

Geopolitieke experts in het vizier

Beleidsdeskundigen zijn vaak het doelwit van nationale groepen. De De aan Rusland gelieerde ColdRiver-groepheeft zich bijvoorbeeld gericht op niet-gouvernementele organisaties, militaire officieren en andere experts die gebruik maken van social engineering om het vertrouwen van het slachtoffer te winnen en vervolgens een kwaadaardige link of malware te gebruiken. In Jordanië heeft gerichte uitbuiting – naar verluidt door overheidsinstanties – maakte gebruik van het Pegasus-spywareprogramma ontwikkeld door de NSO Group en gericht op journalisten, advocaten op het gebied van digitale rechten en andere beleidsexperts. 

Andere bedrijven hebben ook de tactieken van Charming Kitten/CharmingCypress beschreven. In een advies van januari Microsoft waarschuwde dat de groep, die zij Mint Sandstorm noemt, zich had gericht op journalisten, onderzoekers, professoren en andere deskundigen op het gebied van veiligheids- en beleidsonderwerpen die van belang zijn voor de Iraanse regering.

“Operators die bij deze subgroep van Mint Sandstorm horen, zijn geduldige en zeer bekwame sociale ingenieurs wier vakmanschap veel van de kenmerken mist waarmee gebruikers snel phishing-e-mails kunnen identificeren”, aldus Microsoft. “In sommige gevallen van deze campagne gebruikte deze subgroep ook legitieme maar gecompromitteerde accounts om phishing-lokmiddelen te verzenden.”

De groep is in ieder geval sinds 2013 actief sterke banden met de Islamitische Revolutionaire Garde (IRGC)en is volgens cyberbeveiligingsbedrijf CrowdStrike niet direct betrokken geweest bij het cyber-operationele aspect van het conflict tussen Israël en Hamas. 

“In tegenstelling tot de oorlog tussen Rusland en Oekraïne, waar bekende cyberoperaties direct hebben bijgedragen aan het conflict, hebben degenen die betrokken zijn bij het Israëlisch-Hamas-conflict niet direct bijgedragen aan de militaire operaties van Hamas tegen Israël”, aldus het bedrijf in zijn “2024 Global Threat Rapport” uitgebracht op 21 februari.

Rapport opbouwen in de loop van de tijd

Deze aanvallen beginnen meestal met spear-phishing en eindigen met een combinatie van malware die op het systeem van het doelwit wordt afgeleverd een advies van Volexity, die de groep CharmingCypress noemt. In september en oktober 2023 gebruikte CharmingCypress een aantal met typefouten gekraakte domeinen – adressen die vergelijkbaar zijn met legitieme domeinen – om zich voor te doen als functionarissen van het International Institute of Iraanse Studies (IIIS) om beleidsexperts uit te nodigen voor een webinar. De eerste e-mail demonstreerde de rustige en langzame aanpak van CharmingCypress, waarbij elke kwaadaardige link of bijlage werd vermeden en de beoogde professional werd uitgenodigd om contact op te nemen via andere communicatiekanalen, zoals WhatsApp en Signal. 

Met behulp van diepgaande spearphishing wil CharmingCypress beleidsexperts overtuigen om malware te installeren. Bron: Volexiteit

De aanvallen zijn gericht tegen beleidsexperts uit het Midden-Oosten over de hele wereld, waarbij Volexity te maken krijgt met een meerderheid van de aanvallen tegen Europese en Amerikaanse professionals, zegt Adair.

“Ze zijn behoorlijk agressief”, zegt hij. “Ze zetten zelfs hele e-mailketens op of een phishing-scenario waarin ze op zoek zijn naar commentaar en er zijn andere mensen – misschien drie, vier of vijf mensen in die e-mailthread, met uitzondering van het doelwit – die ze zeker proberen om een ​​verstandhouding op te bouwen.”

De lange oplichterij levert uiteindelijk een lading op. Volexity identificeerde vijf verschillende malwarefamilies die verband hielden met de dreiging. De PowerLess-achterdeur wordt geïnstalleerd door de Windows-versie van de met malware beladen Virtual Private Network (VPN)-applicatie, die PowerShell gebruikt om bestanden over te dragen en uit te voeren, maar ook om specifieke gegevens op het systeem te targeten, toetsaanslagen te registreren en schermafbeeldingen te maken . Een macOS-versie van de malware heet NokNok, terwijl een afzonderlijke malwareketen die gebruik maakt van een RAR-archief en LNK-exploit leidt naar een achterdeur genaamd Basicstar.

Verdedigen wordt moeilijker

De benadering van de groep op het gebied van social engineering belichaamt zeker het “persistence”-gedeelte van de Advanced Persistent Threat (APT). Volexity ziet een “constant spervuur” van aanvallen, dus beleidsexperts moeten nog wantrouwiger worden tegenover koude contacten, zegt Adair.

Dat zal moeilijk zijn, omdat veel beleidsexperts academici zijn die voortdurend in contact staan ​​met studenten of burgers en niet gewend zijn streng te zijn in hun contacten, zegt hij. Toch moeten ze beslist nadenken voordat ze documenten openen of inloggegevens invoeren op een site die via een onbekende link wordt bereikt.

“Uiteindelijk moeten ze ervoor zorgen dat de persoon ergens op klikt of iets opent, wat betekent dat als ik wil dat je een artikel of iets dergelijks beoordeelt, je heel voorzichtig moet zijn met links en bestanden”, zegt Adair. “Als ik op enig moment mijn inloggegevens moet invoeren of iets moet autoriseren, zou dat een grote waarschuwing moeten zijn. Op dezelfde manier, als mij wordt gevraagd iets te downloaden, zou dat een behoorlijk grote rode vlag moeten zijn.

Bovendien moeten beleidsexperts begrijpen dat CharmingCypress zich op hen zal blijven richten, zelfs als hun pogingen mislukken, aldus Volexity. 

“Deze bedreigingsacteur is zeer toegewijd aan het uitvoeren van toezicht op zijn doelwitten om te bepalen hoe deze het beste kunnen worden gemanipuleerd en hoe malware kan worden ingezet”, aldus het bedrijf in zijn advies. “Bovendien hebben weinig andere dreigingsactoren consequent zoveel campagnes gelanceerd als CharmingCypress, waarbij menselijke operators hun voortdurende inspanningen ondersteunen.”

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
• PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
• PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
• Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
• Bron: https://www.darkreading.com/vulnerabilities-threats/iran-backed-charming-kitten-stages-fake-webinar-platform-to-ensnare-targets