Wspierane przez Iran uroczyste kociaki organizują fałszywą platformę seminariów internetowych, aby usidlić cele

Konflikty na Bliskim Wschodzie, Ukrainie i w innych obszarach kipiących napięć geopolitycznych sprawiły, że eksperci ds. polityki stali się najnowszym celem operacji cybernetycznych prowadzonych przez grupy sponsorowane przez państwo. 

Powiązana z Iranem grupa – znana jako Charming Kitten, CharmingCypress i APT42 – niedawno obrała za cel ekspertów ds. polityki Bliskiego Wschodu w regionie, a także w USA i Europie, wykorzystując fałszywą platformę seminariów internetowych do narażania swoich docelowych ofiar – firma Volexity, zajmująca się reagowaniem na incydenty stwierdzono w poradniku opublikowanym w tym miesiącu.

Firma twierdzi, że Charming Kitten jest dobrze znana ze swoich szeroko zakrojonych taktyk inżynierii społecznej, w tym powolnych i powolnych ataków socjotechnicznych na zespoły doradców i dziennikarzy w celu gromadzenia informacji politycznych. 

Grupa często oszukuje swoje cele, instalując aplikacje VPN wyposażone w trojany w celu uzyskania dostępu do fałszywej platformy seminariów internetowych i innych witryn, co skutkuje instalacją złośliwego oprogramowania. Ogólnie rzecz biorąc, grupa przyjęła zasadę długotrwałego zaufania, mówi Steven Adair, współzałożyciel i prezes Volexity.

„Nie wiem, czy to na pewno jest wyrafinowane i zaawansowane, ale wymaga dużego wysiłku” – mówi. „Jest znacznie bardziej zaawansowany i wyrafinowany niż przeciętny atak. To poziom wysiłku i poświęcenia… który jest zdecydowanie inny i niezwykły… włożyć tak dużo wysiłku w przypadku tak konkretnego zestawu ataków”.

Eksperci geopolityczni na celowniku

Eksperci ds. polityki są często celem grup z państw narodowych. The Powiązana z Rosją grupa ColdRiverna przykład jego celem były organizacje pozarządowe, oficerowie wojskowi i inni eksperci korzystający z inżynierii społecznej w celu zdobycia zaufania ofiary, a następnie korzystający ze złośliwego łącza lub złośliwego oprogramowania. W Jordanii ukierunkowane wykorzystywanie – według doniesień dokonywane przez agencje rządowe – użył programu szpiegującego Pegasus opracowane przez Grupę NSO i skierowane do dziennikarzy, prawników zajmujących się prawami cyfrowymi i innych ekspertów politycznych. 

Inne firmy również opisały taktykę Charming Kitten/CharmingCypress. W styczniowym poradniku pt. Microsoft ostrzegł że grupa, którą nazywa Mint Sandstorm, obrała za cel dziennikarzy, badaczy, profesorów i innych ekspertów zajmujących się kwestiami bezpieczeństwa i polityki interesującymi rząd irański.

„Operatorzy związani z tą podgrupą Mint Sandstorm to cierpliwi i wysoko wykwalifikowani inżynierowie socjologiczni, których rzemiosło nie posiada wielu cech charakterystycznych pozwalających użytkownikom szybko identyfikować wiadomości e-mail phishingowe” – stwierdził Microsoft. „W niektórych przypadkach tej kampanii ta podgrupa korzystała również z legalnych, ale zainfekowanych kont, aby wysyłać przynęty phishingowe”.

Grupa działa co najmniej od 2013 roku silne powiązania z Korpusem Strażników Rewolucji Islamskiej (IRGC)Według firmy zajmującej się cyberbezpieczeństwem CrowdStrike nie był bezpośrednio zaangażowany w cyberoperacyjny aspekt konfliktu między Izraelem a Hamasem. 

„W przeciwieństwie do wojny rosyjsko-ukraińskiej, gdzie znane operacje cybernetyczne bezpośrednio przyczyniły się do konfliktu, osoby zaangażowane w konflikt Izrael-Hamas nie przyczyniły się bezpośrednio do operacji wojskowych Hamasu przeciwko Izraelowi” – ​​stwierdziła firma w swoim „Globalnym zagrożeniu 2024” Raport” opublikowany 21 lutego.

Budowanie relacji w czasie

Według. ataki te zwykle rozpoczynają się od spear-phishingu, a kończą kombinacją złośliwego oprogramowania dostarczoną do systemu ofiary zalecenie Volexity, która nazywa grupę CharmingCypress. We wrześniu i październiku 2023 r. firma CharmingCypress wykorzystała szereg domen, w których popełniono literówki – adresy podobne do prawidłowych domen – podając się za urzędników Międzynarodowego Instytutu Studiów Irańskich (IIIS) w celu zaproszenia ekspertów ds. polityki na seminarium internetowe. Początkowy e-mail przedstawiał powolne i powolne podejście CharmingCypress, unikając wszelkich złośliwych linków lub załączników i zapraszając docelowego specjalistę do nawiązania kontaktu za pośrednictwem innych kanałów komunikacji, takich jak WhatsApp i Signal. 

Wykorzystując dogłębny phishing spearphishing, CharmingCypress ma na celu przekonanie ekspertów ds. polityki do zainstalowania złośliwego oprogramowania. źródło: Volexity

Ataki są wymierzone w ekspertów ds. polityki Bliskiego Wschodu na całym świecie, przy czym Volexity odnotowuje większość ataków na specjalistów z Europy i USA, mówi Adair.

„Są dość agresywni” – mówi. „Skonfigurują nawet całe łańcuchy e-maili lub scenariusz phishingu, w którym szukają komentarza, a w tym wątku e-mailowym znajdują się inne osoby – może trzy, cztery lub pięć osób z wyjątkiem celu – zdecydowanie próbują budować relację.”

Długi oszust ostatecznie dostarcza ładunek. Volexity zidentyfikowało pięć różnych rodzin złośliwego oprogramowania powiązanych z zagrożeniem. Backdoor PowerLess jest instalowany przez wersję dla systemu Windows zawierającej złośliwe oprogramowanie wirtualnej sieci prywatnej (VPN), która wykorzystuje PowerShell do przesyłania i wykonywania plików, a także atakowania określonych danych w systemie, rejestrowania naciśnięć klawiszy i przechwytywania zrzutów ekranu . Wersja szkodliwego oprogramowania dla systemu MacOS nosi nazwę NokNok, natomiast oddzielny łańcuch szkodliwego oprogramowania wykorzystujący archiwum RAR i exploit LNK prowadzi do backdoora o nazwie Basicstar.

Obrona staje się trudniejsza

Podejście grupy do inżynierii społecznej zdecydowanie ucieleśnia element „trwałości” zaawansowanego trwałego zagrożenia (APT). Volexity odnotowuje „ciągłą falę” ataków, dlatego eksperci ds. polityki muszą stać się jeszcze bardziej podejrzliwi w stosunku do zimnych kontaktów, mówi Adair.

Będzie to trudne, ponieważ wielu ekspertów ds. polityki to pracownicy naukowi pozostający w stałym kontakcie ze studentami lub członkami społeczeństwa i nieprzyzwyczajeni do rygorystycznego traktowania ich kontaktów, mówi. Jednak zdecydowanie powinni pomyśleć przed otwarciem dokumentów lub wprowadzeniem danych uwierzytelniających na stronie, do której prowadzi nieznany link.

„Ostatecznie muszą nakłonić daną osobę do kliknięcia lub otwarcia czegoś, co jeśli chcę, żebyś przejrzał artykuł lub coś w tym rodzaju, oznacza… bardzo ostrożną komunikację z linkami i plikami” – mówi Adair. „Jeśli w dowolnym momencie będę musiał podać swoje dane uwierzytelniające lub coś autoryzować, powinno to być główną czerwoną flagą. Podobnie, jeśli zostanę poproszony o pobranie czegoś, powinno to być dość dużą czerwoną flagą.

Ponadto eksperci ds. polityki muszą zrozumieć, że CharmingCypress będzie w dalszym ciągu ich atakować, nawet jeśli próby się nie powiodą, stwierdził Volexity. 

„To ugrupowanie zagrażające jest bardzo zaangażowane w prowadzenie inwigilacji swoich celów w celu ustalenia najlepszego sposobu manipulowania nimi i wdrażania złośliwego oprogramowania” – stwierdziła firma w swoim poradniku. „Ponadto niewiele innych podmiotów zagrażających konsekwentnie prowadziło tyle kampanii, co CharmingCypress, oddelegowując ludzkich operatorów do wspierania ich bieżących wysiłków”.

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
• PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
• PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
• Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
• Źródło: https://www.darkreading.com/vulnerabilities-threats/iran-backed-charming-kitten-stages-fake-webinar-platform-to-ensnare-targets