Поддерживаемый Ираном очаровательный котенок создает фальшивую платформу для вебинаров, чтобы заманить в ловушку цели

Конфликты на Ближнем Востоке, в Украине и в других регионах с нарастающей геополитической напряженностью сделали экспертов-политиков последней мишенью киберопераций, проводимых спонсируемыми государством группировками. 

Связанная с Ираном группа, известная как Charming Kitten, CharmingCypress и APT42, недавно атаковала экспертов по ближневосточной политике в регионе, а также в США и Европе, используя фальшивую платформу вебинаров для компрометации своих целевых жертв, компании Volexity, предоставляющей услуги по реагированию на инциденты. говорится в сообщении, опубликованном в этом месяце.

Компания Charming Kitten хорошо известна своей обширной тактикой социальной инженерии, в том числе медленными и медленными атаками социальной инженерии на аналитические центры и журналистов с целью сбора политической информации, заявила фирма. 

Группа часто обманывает своих жертв, заставляя их устанавливать VPN-приложения, оснащенные троянами, чтобы получить доступ к поддельной платформе вебинаров и другим сайтам, что приводит к установке вредоносного ПО. В целом группа вступила в долгую игру доверия, говорит Стивен Адэр, соучредитель и президент Volexity.

«Я не знаю, обязательно ли это сложно и продвинуто, но это требует больших усилий», — говорит он. «Это значительно более продвинутая и изощренная атака, чем обычная атака. Это уровень усилий и самоотверженности… это определенно необычно и необычно… приложить столько усилий для такого конкретного набора атак».

Геополитические эксперты под прицелом

Политические эксперты часто становятся мишенью групп национальных государств. Связанная с Россией группа ColdRiver, например, нацелены на неправительственные организации, офицеров армии и других экспертов, использующих социальную инженерию, чтобы завоевать доверие жертвы, а затем пересылают вредоносную ссылку или вредоносное ПО. В Иордании целенаправленная эксплуатация — по сообщениям, со стороны государственных органов — использовал шпионскую программу Pegasus разработанный группой NSO и ориентированный на журналистов, юристов по цифровым правам и других политических экспертов. 

Другие компании также описали тактику Charming Kitten/CharmingCypress. В январском сообщении Майкрософт предупредил что группа, которую она называет Mint Sandstorm, преследовала журналистов, исследователей, профессоров и других экспертов, освещающих темы безопасности и политики, представляющие интерес для иранского правительства.

«Операторы, связанные с этой подгруппой Mint Sandstorm, — терпеливые и высококвалифицированные социальные инженеры, чьей профессии не хватает многих отличительных черт, которые позволяют пользователям быстро идентифицировать фишинговые электронные письма», — заявили в Microsoft. «В некоторых случаях этой кампании эта подгруппа также использовала законные, но скомпрометированные учетные записи для рассылки фишинговых приманок».

Группа активна как минимум с 2013 года. прочные связи с Корпусом стражей исламской революции (КСИР)По данным компании CrowdStrike, занимающейся кибербезопасностью, он не принимал непосредственного участия в кибероперативном аспекте конфликта между Израилем и ХАМАСом. 

«В отличие от российско-украинской войны, где известные кибероперации непосредственно способствовали конфликту, те, кто участвовал в конфликте между Израилем и ХАМАСом, не внесли прямого вклада в военные операции ХАМАСа против Израиля», — заявила компания в своем докладе «Глобальная угроза 2024 года». Отчет», выпущенный 21 февраля.

Построение взаимопонимания с течением времени

По данным компании, эти атаки обычно начинаются с целевого фишинга и заканчиваются сочетанием вредоносных программ, доставленных в систему цели. совет от Volexity, который называет группу CharmingCypress. В сентябре и октябре 2023 года CharmingCypress использовала ряд опечаток доменов — адресов, похожих на законные домены — чтобы выдать себя за представителей Международного института иранских исследований (IIIS) и пригласить экспертов по политике на вебинар. Первоначальное электронное письмо продемонстрировало неторопливый подход CharmingCypress, избегающего любых вредоносных ссылок или вложений и предлагающего целевому профессионалу связаться с ним через другие каналы связи, такие как WhatsApp и Signal. 

Используя тщательный целевой фишинг, CharmingCypress стремится убедить экспертов в области политики устанавливать вредоносное ПО. Источник: Волексити

Атаки нацелены на экспертов по политике Ближнего Востока по всему миру, при этом Volexity сталкивается с большинством атак на профессионалов из Европы и США, говорит Адэр.

«Они довольно агрессивны», — говорит он. «Они даже создают целые цепочки электронных писем или сценарий фишинга, в котором они ищут комментарии, и есть другие люди — может быть, три, четыре или пять человек в этой цепочке электронных писем, за исключением цели — они определенно пытаются чтобы наладить взаимопонимание».

Длинная афера в конечном итоге приносит полезную нагрузку. Volexity выявила пять различных семейств вредоносного ПО, связанных с этой угрозой. Бэкдор PowerLess устанавливается версией Windows загруженного вредоносным ПО приложения виртуальной частной сети (VPN), которое использует PowerShell для передачи и выполнения файлов, а также для нацеливания на определенные данные в системе, регистрации нажатий клавиш и создания снимков экрана. . Версия вредоносного ПО для macOS получила название NokNok, а отдельная цепочка вредоносного ПО, использующая архив RAR и эксплойт LNK, ведет к бэкдору под названием Basicstar.

Защищаться становится сложнее

Подход группы к социальной инженерии определенно воплощает в себе «стойкую» часть продвинутой постоянной угрозы (APT). По словам Адэра, Volexity сталкивается с «постоянным шквалом» атак, поэтому экспертам по политике приходится с еще большей подозрительностью относиться к холодным контактам.

Сделать это будет сложно, поскольку многие политические эксперты являются учеными, постоянно контактирующими со студентами или представителями общественности и не привыкли быть строгими в своих контактах, говорит он. Тем не менее, им обязательно следует подумать, прежде чем открывать документы или вводить учетные данные на сайт, на который можно попасть по неизвестной ссылке.

«В конце концов, им нужно заставить человека щелкнуть что-нибудь или открыть что-то, а это, если я хочу, чтобы вы просмотрели статью или что-то в этом роде, означает… очень осторожно относиться к ссылкам и файлам», — говорит Адэр. «Если мне придется ввести свои учетные данные в любой момент времени или авторизовать что-то — это должно быть серьезным тревожным сигналом. Точно так же, если меня попросят что-то скачать, это должно быть довольно большим тревожным сигналом».

Кроме того, эксперты по политике должны понимать, что CharmingCypress продолжит преследовать их, даже если его попытки потерпят неудачу, заявили Volexity. 

«Этот злоумышленник твердо намерен вести наблюдение за своими целями, чтобы определить, как лучше всего манипулировать ими и развертывать вредоносное ПО», — говорится в сообщении компании. «Кроме того, немногие другие субъекты угроз последовательно проводят столько кампаний, сколько CharmingCypress, поручая людям-операторам поддержку их текущих усилий».

• SEO-контент и PR-распределение. Получите усиление сегодня.
• PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
• ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
• ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
• ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
• Источник: https://www.darkreading.com/vulnerabilities-threats/iran-backed-charming-kitten-stages-fake-webinar-platform-to-ensnare-targets