Charming Kitten, ki ga podpira Iran, pripravlja platformo za lažne spletne seminarje, da ujame tarče

Zaradi konfliktov na Bližnjem vzhodu, v Ukrajini in drugih območjih tlečih geopolitičnih napetosti so politični strokovnjaki zadnja tarča kibernetskih operacij, ki jih izvajajo skupine, ki jih sponzorira država. 

Z Iranom povezana skupina, znana kot Charming Kitten, CharmingCypress in APT42, se je nedavno lotila strokovnjakov za politiko Bližnjega vzhoda v regiji, pa tudi v ZDA in Evropi, pri čemer je uporabila lažno platformo za spletne seminarje, da bi ogrozila svoje ciljne žrtve, družbo za odzivanje na incidente Volexity. navedeno v svetovanju, objavljenem ta mesec.

Družba Charming Kitten je dobro znana po svojih obsežnih taktikah socialnega inženiringa, vključno z nizkimi in počasnimi napadi socialnega inženiringa na think tanke in novinarje za zbiranje političnih obveščevalnih podatkov, navaja podjetje. 

Skupina pogosto preslepi, da namešča aplikacije VPN, ki so opremljene s trojanskimi konjami, da bi pridobila dostop do lažne platforme spletnih seminarjev in drugih spletnih mest, kar ima za posledico namestitev zlonamerne programske opreme. Na splošno je skupina sprejela dolgotrajno igro zaupanja, pravi Steven Adair, soustanovitelj in predsednik Volexityja.

»Ne vem, ali je to nujno prefinjeno in napredno, a zahteva veliko truda,« pravi. »Je precej naprednejši in bolj sofisticiran od vašega povprečnega napada. To je stopnja truda in predanosti … ki je vsekakor drugačna in neobičajna … vložiti toliko truda za tako specifičen nabor napadov.”

Geopolitični strokovnjaki v križišču

Strokovnjaki za politike so pogosto tarča skupin nacionalnih držav. The Z Rusijo povezana skupina ColdRiver, na primer, cilja na nevladne organizacije, vojaške častnike in druge strokovnjake, ki uporabljajo socialni inženiring, da pridobijo zaupanje žrtve in nato sledijo z zlonamerno povezavo ali zlonamerno programsko opremo. V Jordaniji ciljno izkoriščanje – domnevno s strani vladnih agencij – uporabljal vohunski program Pegasus razvila skupina NSO in je bila namenjena novinarjem, odvetnikom za digitalne pravice in drugim strokovnjakom za politike. 

Tudi druga podjetja so opisala taktiko Charming Kitten/CharmingCypress. V januarskem svetovalnem obvestilu je opozoril Microsoft da je skupina, ki jo imenuje Mint Sandstorm, ciljala na novinarje, raziskovalce, profesorje in druge strokovnjake, ki so pokrivali varnostne in politične teme, ki zanimajo iransko vlado.

»Operaterji, povezani s to podskupino Mint Sandstorm, so potrpežljivi in ​​visoko usposobljeni socialni inženirji, katerih obrt nima številnih značilnosti, ki uporabnikom omogočajo hitro prepoznavanje lažnih e-poštnih sporočil,« je izjavil Microsoft. "V nekaterih primerih te kampanje je ta podskupina uporabljala tudi legitimne, a ogrožene račune za pošiljanje vab lažnega predstavljanja."

Skupina deluje vsaj od 2013, ima močne povezave z Islamsko revolucionarno gardo (IRGC), in po podatkih podjetja za kibernetsko varnost CrowdStrike ni bil neposredno vpleten v kibernetski operativni vidik konflikta med Izraelom in Hamasom. 

"V nasprotju z rusko-ukrajinsko vojno, kjer so znane kibernetske operacije neposredno prispevale h konfliktu, tisti, ki so vpleteni v konflikt med Izraelom in Hamasom, niso neposredno prispevali k Hamasovim vojaškim operacijam proti Izraelu," je podjetje navedlo v svoji "Globalni grožnji 2024". Poročilo«, objavljeno 21. feb.

Gradnja odnosa skozi čas

Ti napadi se običajno začnejo s lažnim predstavljanjem in končajo s kombinacijo zlonamerne programske opreme, dostavljene ciljnemu sistemu, svetovanje podjetja Volexity, ki skupino imenuje CharmingCypress. Septembra in oktobra 2023 je CharmingCypress uporabil številne zatipkane domene – naslove, podobne zakonitim domenam –, da se je predstavljal kot uradnik Mednarodnega inštituta za iranske študije (IIIS), da bi na spletni seminar povabil strokovnjake za politike. Začetno e-poštno sporočilo je pokazalo nizek in počasen pristop CharmingCypressa, ki se je izogibal kakršni koli zlonamerni povezavi ali priponki in vabil ciljnega strokovnjaka, da se obrne prek drugih komunikacijskih kanalov, kot sta WhatsApp in Signal. 

CharmingCypress želi s pomočjo poglobljenega lažnega predstavljanja prepričati strokovnjake za politike, da namestijo zlonamerno programsko opremo. Vir: Volexity

Napadi so usmerjeni na strokovnjake za politiko Bližnjega vzhoda po vsem svetu, pri čemer se Volexity sooča z večino napadov na evropske in ameriške strokovnjake, pravi Adair.

"So precej agresivni," pravi. »Vzpostavili bodo celo celotne e-poštne verige ali scenarij lažnega predstavljanja, kjer iščejo komentar in so drugi ljudje – morda trije, štirje ali pet ljudi v tej e-poštni niti z izjemo tarče – vsekakor poskušajo zgraditi odnos.«

Dolga prevara na koncu prinese korist. Volexity je odkril pet različnih družin zlonamerne programske opreme, povezanih z grožnjo. Zadnja vrata PowerLess namesti različica Windows aplikacije za navidezna zasebna omrežja (VPN), obremenjene z zlonamerno programsko opremo, ki uporablja PowerShell za omogočanje prenosa in izvajanja datotek, kot tudi ciljanje na določene podatke v sistemu, beleženje pritiskov na tipke in zajemanje posnetkov zaslona. . Različica zlonamerne programske opreme za macOS se imenuje NokNok, medtem ko ločena veriga zlonamerne programske opreme, ki uporablja arhiv RAR in izkoriščanje LNK, vodi do stranskih vrat z imenom Basicstar.

Obramba postane težja

Pristop skupine k socialnemu inženiringu vsekakor uteleša "vztrajnost" del napredne trajne grožnje (APT). Volexity vidi "nenehen jez" napadov, zato morajo politični strokovnjaki postati še bolj sumničavi glede hladnih stikov, pravi Adair.

To bo težko storiti, saj so mnogi politični strokovnjaki akademiki v stalnem stiku s študenti ali člani javnosti in niso navajeni biti strogi pri svojih stikih, pravi. Vsekakor pa bi morali premisliti, preden odprejo dokumente ali vnesejo poverilnice na spletno mesto, do katerega pridejo prek neznane povezave.

»Na koncu dneva morajo osebo pripraviti do tega, da nekaj klikne ali nekaj odpre, kar, če želim, da pregledate članek ali kaj podobnega, pomeni … biti zelo previden pri povezavah in datotekah,« pravi Adair. »Če moram kadar koli vnesti svoje poverilnice ali nekaj odobriti – to bi morala biti velika rdeča zastava. Podobno, če me prosijo, naj nekaj prenesem, bi to morala biti precej velika rdeča zastavica.«

Poleg tega morajo strokovnjaki za politiko razumeti, da jih bo CharmingCypress še naprej ciljal, tudi če bodo njegovi poskusi neuspešni, je izjavil Volexity. 

"Ta akter grožnje je zelo predan izvajanju nadzora nad svojimi cilji, da bi ugotovil, kako najbolje manipulirati z njimi in namestiti zlonamerno programsko opremo," je podjetje navedlo v svojem svetovanju. "Poleg tega je le malo drugih akterjev groženj dosledno sprožilo toliko kampanj kot CharmingCypress, pri čemer je v podporo njihovim nenehnim prizadevanjem namenilo človeške operaterje."

• Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
• PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
• PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
• PlatoESG. Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
• PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
• vir: https://www.darkreading.com/vulnerabilities-threats/iran-backed-charming-kitten-stages-fake-webinar-platform-to-ensnare-targets