Конфликты на Ближнем Востоке, в Украине и в других регионах с нарастающей геополитической напряженностью сделали экспертов-политиков последней мишенью киберопераций, проводимых спонсируемыми государством группировками.
Связанная с Ираном группа, известная как Charming Kitten, CharmingCypress и APT42, недавно атаковала экспертов по ближневосточной политике в регионе, а также в США и Европе, используя фальшивую платформу вебинаров для компрометации своих целевых жертв, компании Volexity, предоставляющей услуги по реагированию на инциденты. говорится в сообщении, опубликованном в этом месяце.
Компания Charming Kitten хорошо известна своей обширной тактикой социальной инженерии, в том числе медленными и медленными атаками социальной инженерии на аналитические центры и журналистов с целью сбора политической информации, заявила фирма.
Группа часто обманывает своих жертв, заставляя их устанавливать VPN-приложения, оснащенные троянами, чтобы получить доступ к поддельной платформе вебинаров и другим сайтам, что приводит к установке вредоносного ПО. В целом группа вступила в долгую игру доверия, говорит Стивен Адэр, соучредитель и президент Volexity.
«Я не знаю, обязательно ли это сложно и продвинуто, но это требует больших усилий», — говорит он. «Это значительно более продвинутая и изощренная атака, чем обычная атака. Это уровень усилий и самоотверженности… это определенно необычно и необычно… приложить столько усилий для такого конкретного набора атак».
Геополитические эксперты под прицелом
Политические эксперты часто становятся мишенью групп национальных государств. Связанная с Россией группа ColdRiver, например, нацелены на неправительственные организации, офицеров армии и других экспертов, использующих социальную инженерию, чтобы завоевать доверие жертвы, а затем пересылают вредоносную ссылку или вредоносное ПО. В Иордании целенаправленная эксплуатация — по сообщениям, со стороны государственных органов — использовал шпионскую программу Pegasus разработанный группой NSO и ориентированный на журналистов, юристов по цифровым правам и других политических экспертов.
Другие компании также описали тактику Charming Kitten/CharmingCypress. В январском сообщении Майкрософт предупредил что группа, которую она называет Mint Sandstorm, преследовала журналистов, исследователей, профессоров и других экспертов, освещающих темы безопасности и политики, представляющие интерес для иранского правительства.
«Операторы, связанные с этой подгруппой Mint Sandstorm, — терпеливые и высококвалифицированные социальные инженеры, чьей профессии не хватает многих отличительных черт, которые позволяют пользователям быстро идентифицировать фишинговые электронные письма», — заявили в Microsoft. «В некоторых случаях этой кампании эта подгруппа также использовала законные, но скомпрометированные учетные записи для рассылки фишинговых приманок».
Группа активна как минимум с 2013 года. прочные связи с Корпусом стражей исламской революции (КСИР)По данным компании CrowdStrike, занимающейся кибербезопасностью, он не принимал непосредственного участия в кибероперативном аспекте конфликта между Израилем и ХАМАСом.
«В отличие от российско-украинской войны, где известные кибероперации непосредственно способствовали конфликту, те, кто участвовал в конфликте между Израилем и ХАМАСом, не внесли прямого вклада в военные операции ХАМАСа против Израиля», — заявила компания в своем докладе «Глобальная угроза 2024 года». Отчет», выпущенный 21 февраля.
Построение взаимопонимания с течением времени
По данным компании, эти атаки обычно начинаются с целевого фишинга и заканчиваются сочетанием вредоносных программ, доставленных в систему цели. совет от Volexity, который называет группу CharmingCypress. В сентябре и октябре 2023 года CharmingCypress использовала ряд опечаток доменов — адресов, похожих на законные домены — чтобы выдать себя за представителей Международного института иранских исследований (IIIS) и пригласить экспертов по политике на вебинар. Первоначальное электронное письмо продемонстрировало неторопливый подход CharmingCypress, избегающего любых вредоносных ссылок или вложений и предлагающего целевому профессионалу связаться с ним через другие каналы связи, такие как WhatsApp и Signal.
Используя тщательный целевой фишинг, CharmingCypress стремится убедить экспертов в области политики устанавливать вредоносное ПО. Источник: Волексити
Атаки нацелены на экспертов по политике Ближнего Востока по всему миру, при этом Volexity сталкивается с большинством атак на профессионалов из Европы и США, говорит Адэр.
«Они довольно агрессивны», — говорит он. «Они даже создают целые цепочки электронных писем или сценарий фишинга, в котором они ищут комментарии, и есть другие люди — может быть, три, четыре или пять человек в этой цепочке электронных писем, за исключением цели — они определенно пытаются чтобы наладить взаимопонимание».
Длинная афера в конечном итоге приносит полезную нагрузку. Volexity выявила пять различных семейств вредоносного ПО, связанных с этой угрозой. Бэкдор PowerLess устанавливается версией Windows загруженного вредоносным ПО приложения виртуальной частной сети (VPN), которое использует PowerShell для передачи и выполнения файлов, а также для нацеливания на определенные данные в системе, регистрации нажатий клавиш и создания снимков экрана. . Версия вредоносного ПО для macOS получила название NokNok, а отдельная цепочка вредоносного ПО, использующая архив RAR и эксплойт LNK, ведет к бэкдору под названием Basicstar.
Защищаться становится сложнее
Подход группы к социальной инженерии определенно воплощает в себе «стойкую» часть продвинутой постоянной угрозы (APT). По словам Адэра, Volexity сталкивается с «постоянным шквалом» атак, поэтому экспертам по политике приходится с еще большей подозрительностью относиться к холодным контактам.
Сделать это будет сложно, поскольку многие политические эксперты являются учеными, постоянно контактирующими со студентами или представителями общественности и не привыкли быть строгими в своих контактах, говорит он. Тем не менее, им обязательно следует подумать, прежде чем открывать документы или вводить учетные данные на сайт, на который можно попасть по неизвестной ссылке.
«В конце концов, им нужно заставить человека щелкнуть что-нибудь или открыть что-то, а это, если я хочу, чтобы вы просмотрели статью или что-то в этом роде, означает… очень осторожно относиться к ссылкам и файлам», — говорит Адэр. «Если мне придется ввести свои учетные данные в любой момент времени или авторизовать что-то — это должно быть серьезным тревожным сигналом. Точно так же, если меня попросят что-то скачать, это должно быть довольно большим тревожным сигналом».
Кроме того, эксперты по политике должны понимать, что CharmingCypress продолжит преследовать их, даже если его попытки потерпят неудачу, заявили Volexity.
«Этот злоумышленник твердо намерен вести наблюдение за своими целями, чтобы определить, как лучше всего манипулировать ими и развертывать вредоносное ПО», — говорится в сообщении компании. «Кроме того, немногие другие субъекты угроз последовательно проводят столько кампаний, сколько CharmingCypress, поручая людям-операторам поддержку их текущих усилий».
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.darkreading.com/vulnerabilities-threats/iran-backed-charming-kitten-stages-fake-webinar-platform-to-ensnare-targets
- :имеет
- :является
- :нет
- :куда
- $UP
- 2013
- 2023
- 2024
- 7
- 9
- a
- ученые
- доступ
- По
- Учетные записи
- активный
- актеры
- дополнение
- Дополнительно
- адреса
- продвинутый
- консультативный
- против
- агентствах
- агрессивный
- Цель
- позволять
- причислены
- an
- и
- любой
- Применение
- Приложения
- подхода
- APT
- архив
- МЫ
- области
- AS
- внешний вид
- связанный
- At
- атаковать
- нападки
- попытки
- санкционировать
- в среднем
- задняя дверь
- заграждение
- BE
- становиться
- становится
- было
- до
- не являетесь
- ЛУЧШЕЕ
- между
- большой
- строить
- Строительство
- но
- by
- Объявления
- Кампания
- Кампании
- Захват
- цепь
- цепи
- каналы
- нажмите на
- Соучредитель
- холодный
- сочетание
- комментарий
- привержен
- Связь
- Компании
- Компания
- скомпрометированы
- Ослабленный
- проводятся
- проведение
- доверие
- конфликт
- последовательно
- постоянная
- обращайтесь
- контакты
- продолжать
- способствовало
- убеждать
- корпус
- покрытие
- Полномочия
- перекрестье
- кибер-
- Информационная безопасность
- данным
- день
- преданность
- Защита
- определенно
- поставляется
- обеспечивает
- убивают
- развертывание
- описано
- Определять
- развитый
- различный
- трудный
- непосредственно
- Документация
- доменов
- Дон
- скачать
- дублированный
- восток
- усилие
- усилия
- Писем
- воплощает
- обнялись
- встреча
- конец
- Проект и
- Инженеры
- Enter
- входящий
- Весь
- Европе
- Европейская кухня
- Даже
- со временем
- пример
- исключение
- выполненный
- эксперты
- Эксплуатировать
- эксплуатация
- обширный
- FAIL
- не настоящие
- семей
- фев
- несколько
- Файлы
- Фирма
- 5
- поток
- после
- Что касается
- 4
- часто
- от
- Gain
- игра
- собирать
- геополитический
- получить
- Глобальный
- Go
- Правительство
- государственные учреждения
- группы
- Группы
- Охрана
- было
- ХАМАС
- Есть
- he
- очень
- Как
- HTTPS
- человек
- i
- идентифицированный
- определения
- if
- изображение
- in
- углубленный
- инцидент
- реакция на инцидент
- В том числе
- начальный
- устанавливать
- установка
- установлен
- Установка
- Институт
- Интеллекта
- интерес
- Мультиязычность
- в
- приглашать
- манящий
- вовлеченный
- иранец
- Исламский
- Израиль
- IT
- ЕГО
- январь
- Джордан
- Журналисты
- Знать
- известный
- последний
- Адвокаты
- Лиды
- наименее
- законный
- уровень
- такое как
- LINK
- связи
- ll
- каротаж
- Длинное
- искать
- серия
- MacOS
- сделанный
- основной
- Большинство
- злонамеренный
- вредоносных программ
- многих
- Маржа
- может быть
- означает
- Участники
- Microsoft
- средняя
- Ближний Восток
- военный
- мята
- Месяц
- БОЛЕЕ
- много
- my
- Названный
- обязательно
- Необходимость
- сеть
- неправительственный
- номер
- октябрь
- of
- офицеров
- чиновников
- .
- on
- постоянный
- открытый
- открытие
- Операционный отдел
- Операторы
- or
- заказ
- организации
- Другое
- внешний
- за
- общий
- бумага & картон
- пациент
- Pegasus
- Люди
- настойчивость
- человек
- фишинг
- фальшивый
- кусок
- Платформа
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- Точка
- политика
- политический
- поза
- PowerShell
- президент
- довольно
- частная
- профессиональный
- профессионалы
- что такое варган?
- опубликованный
- быстро
- вполне
- RE
- достигать
- достиг
- недавно
- Red
- область
- выпустил
- отчету
- , по имеющимся данным
- исследователи
- ответ
- в результате
- обзоре
- революционный
- Русско-украинская война
- s
- говорит
- сценарий
- скриншоты
- безопасность
- видит
- Отправить
- отдельный
- сентябрь
- Услуги
- набор
- должен
- сигнал
- значительный
- аналогичный
- Аналогичным образом
- с
- сайте
- Сайтов
- квалифицированный
- So
- Соцсети
- Социальная инженерия
- некоторые
- удалось
- сложный
- Источник
- конкретный
- Спонсоров
- шпионских программ
- этапы
- Начало
- заявил
- Стивен
- Строгий
- Студенты
- исследования
- такие
- поддержка
- наблюдение
- подозрительный
- система
- тактика
- танки
- цель
- целевое
- направлены
- направлена против
- напряженность
- чем
- который
- Ассоциация
- их
- Их
- тогда
- Там.
- они
- think
- этой
- те
- угроза
- актеры угрозы
- Отчет об угрозах
- три
- Через
- время
- в
- Темы
- переданы
- пытается
- Украина
- Обычный
- понимать
- неизвестный
- В отличие от
- us
- используемый
- пользователей
- использования
- через
- обычно
- версия
- очень
- Жертва
- жертвы
- Виртуальный
- VPN
- хотеть
- войны
- webinar
- ЧТО Ж
- который
- в то время как
- чья
- будете
- окна
- по всему миру
- еще
- Ты
- ВАШЕ
- зефирнет