ลูกแมวทรงเสน่ห์ที่ได้รับการสนับสนุนจากอิหร่าน จัดทำแพลตฟอร์มสัมมนาผ่านเว็บปลอมเพื่อดักจับเป้าหมาย

ความขัดแย้งในตะวันออกกลาง ยูเครน และด้านอื่น ๆ ของความตึงเครียดทางภูมิรัฐศาสตร์ที่คุกรุ่นทำให้ผู้เชี่ยวชาญด้านนโยบายตกเป็นเป้าหมายล่าสุดของปฏิบัติการทางไซเบอร์ที่ดำเนินการโดยกลุ่มที่ได้รับการสนับสนุนจากรัฐ 

กลุ่มที่เกี่ยวข้องกับอิหร่าน — ที่รู้จักกันในชื่อ Charming Kitten, CharmingCypress และ APT42 — เพิ่งตั้งเป้าไปที่ผู้เชี่ยวชาญด้านนโยบายในตะวันออกกลางในภูมิภาค รวมถึงในสหรัฐอเมริกาและยุโรป โดยใช้แพลตฟอร์มการสัมมนาผ่านเว็บปลอมเพื่อประนีประนอมเหยื่อที่เป็นเป้าหมาย บริษัทให้บริการตอบสนองต่อเหตุการณ์ Volexity ระบุไว้ในคำแนะนำที่เผยแพร่ในเดือนนี้

Charming Kitty เป็นที่รู้จักกันดีในด้านกลยุทธ์วิศวกรรมสังคมที่กว้างขวาง รวมถึงการโจมตีทางวิศวกรรมสังคมแบบช้าและช้าต่อกลุ่มนักคิดและนักข่าวเพื่อรวบรวมข้อมูลทางการเมือง บริษัทดังกล่าว 

กลุ่มนี้มักจะหลอกเป้าหมายในการติดตั้งแอปพลิเคชัน VPN ที่ใช้โทรจันเพื่อเข้าถึงแพลตฟอร์มการสัมมนาผ่านเว็บปลอมและไซต์อื่นๆ ส่งผลให้เกิดการติดตั้งมัลแวร์ โดยรวมแล้ว กลุ่มได้ยอมรับเกมความมั่นใจที่มีมาอย่างยาวนาน Steven Adair ผู้ร่วมก่อตั้งและประธานของ Volexity กล่าว

“ผมไม่รู้ว่ามันจำเป็นต้องซับซ้อนและก้าวหน้าหรือเปล่า แต่ต้องใช้ความพยายามอย่างมาก” เขากล่าว “มันล้ำหน้าและซับซ้อนกว่าการโจมตีโดยเฉลี่ยของคุณด้วยส่วนต่างที่สำคัญ มันเป็นระดับของความพยายามและความทุ่มเท … ที่แตกต่างและไม่ธรรมดาอย่างแน่นอน … ที่จะใช้ความพยายามอย่างมากเพื่อการโจมตีชุดที่เฉพาะเจาะจงเช่นนี้”

ผู้เชี่ยวชาญด้านภูมิรัฐศาสตร์ในแนวขวาง

ผู้เชี่ยวชาญด้านนโยบายมักตกเป็นเป้าหมายของกลุ่มรัฐชาติ ที่ กลุ่ม ColdRiver ที่เชื่อมโยงกับรัสเซียตัวอย่างเช่น มีการกำหนดเป้าหมายองค์กรพัฒนาเอกชน เจ้าหน้าที่ทหาร และผู้เชี่ยวชาญอื่นๆ ที่ใช้วิศวกรรมสังคมเพื่อสร้างความมั่นใจให้กับเหยื่อ จากนั้นจึงติดตามด้วยลิงก์ที่เป็นอันตรายหรือมัลแวร์ ในจอร์แดน การแสวงหาผลประโยชน์แบบกำหนดเป้าหมาย — รายงานโดยหน่วยงานของรัฐ — ใช้โปรแกรมสปายแวร์ Pegasus พัฒนาโดยกลุ่ม NSO และนักข่าวเป้าหมาย ทนายความด้านสิทธิ์ดิจิทัล และผู้เชี่ยวชาญด้านนโยบายอื่นๆ 

บริษัทอื่นๆ ยังได้อธิบายกลยุทธ์ของ Charming Kitty/CharmingCypress อีกด้วย ในการให้คำปรึกษาเดือนมกราคม ไมโครซอฟท์เตือน กลุ่มนี้ซึ่งเรียกว่า Mint Sandstorm มีเป้าหมายไปที่นักข่าว นักวิจัย อาจารย์ และผู้เชี่ยวชาญอื่นๆ ที่ครอบคลุมหัวข้อด้านความปลอดภัยและนโยบายที่เป็นที่สนใจของรัฐบาลอิหร่าน

“ผู้ดำเนินการที่เกี่ยวข้องกับกลุ่มย่อยของ Mint Sandstorm นี้เป็นวิศวกรสังคมที่มีความอดทนและมีทักษะสูง ซึ่งขาดคุณสมบัติหลายประการที่ทำให้ผู้ใช้สามารถระบุอีเมลฟิชชิ่งได้อย่างรวดเร็ว” Microsoft กล่าว “ในบางกรณีของแคมเปญนี้ กลุ่มย่อยนี้ยังใช้บัญชีที่ถูกต้องแต่ถูกบุกรุกเพื่อส่งเหยื่อฟิชชิ่ง”

กลุ่มนี้มีการใช้งานมาตั้งแต่อย่างน้อยปี 2013 ได้ การเชื่อมโยงที่แข็งแกร่งกับกองกำลังพิทักษ์การปฏิวัติอิสลาม (IRGC)และไม่เกี่ยวข้องโดยตรงกับแง่มุมปฏิบัติการทางไซเบอร์ของความขัดแย้งระหว่างอิสราเอลและฮามาส ตามรายงานของ CrowdStrike บริษัทรักษาความปลอดภัยทางไซเบอร์ 

“ไม่เหมือนกับในสงครามรัสเซีย-ยูเครน ซึ่งปฏิบัติการทางไซเบอร์ที่รู้จักกันดีมีส่วนทำให้เกิดความขัดแย้งโดยตรง ผู้ที่เกี่ยวข้องกับความขัดแย้งระหว่างอิสราเอล-ฮามาสไม่ได้มีส่วนโดยตรงต่อปฏิบัติการทางทหารของฮามาสต่ออิสราเอล” บริษัทระบุใน “ภัยคุกคามระดับโลกปี 2024” รายงาน” เผยแพร่เมื่อวันที่ 21 กุมภาพันธ์

การสร้างสายสัมพันธ์เมื่อเวลาผ่านไป

การโจมตีเหล่านี้มักจะเริ่มต้นด้วยฟิชชิ่งแบบหอกและจบลงด้วยการรวมมัลแวร์ที่ส่งไปยังระบบของเป้าหมาย คำแนะนำจาก Volexityซึ่งเรียกกลุ่มนี้ว่า CharmingCypress ในเดือนกันยายนและตุลาคม 2023 CharmingCypress ใช้โดเมนที่มีการพิมพ์ผิดจำนวนหนึ่ง ซึ่งเป็นที่อยู่คล้ายกับโดเมนที่ถูกต้อง เพื่อสวมรอยเป็นเจ้าหน้าที่จากสถาบันนานาชาติแห่งอิหร่านศึกษา (IIIS) เพื่อเชิญผู้เชี่ยวชาญด้านนโยบายเข้าร่วมการสัมมนาทางเว็บ อีเมลเริ่มต้นแสดงให้เห็นถึงแนวทางที่ช้าและช้าของ CharmingCypress โดยหลีกเลี่ยงลิงก์หรือไฟล์แนบที่เป็นอันตราย และเชิญชวนให้มืออาชีพที่เป็นเป้าหมายติดต่อผ่านช่องทางการสื่อสารอื่น ๆ เช่น WhatsApp และ Signal 

CharmingCypress มีการใช้หอกฟิชชิ่งเชิงลึก โดยมีจุดมุ่งหมายเพื่อโน้มน้าวผู้เชี่ยวชาญด้านนโยบายให้ติดตั้งมัลแวร์ ที่มา: Volexity

การโจมตีดังกล่าวมุ่งเป้าไปที่ผู้เชี่ยวชาญด้านนโยบายตะวันออกกลางทั่วโลก โดยที่ Volexity พบกับการโจมตีส่วนใหญ่ต่อผู้เชี่ยวชาญในยุโรปและสหรัฐอเมริกา Adair กล่าว

“พวกเขาค่อนข้างก้าวร้าว” เขากล่าว “พวกเขาจะตั้งค่ากลุ่มอีเมลทั้งหมดหรือสถานการณ์ฟิชชิ่งที่พวกเขากำลังมองหาความคิดเห็นและมีคนอื่นๆ — อาจจะเป็นสาม, สี่หรือห้าคนในชุดข้อความอีเมลนั้น ยกเว้นเป้าหมาย — พวกเขากำลังพยายามอย่างแน่นอน เพื่อสร้างสายสัมพันธ์”

ในที่สุดการแย้งแบบยาวก็ส่งมอบน้ำหนักบรรทุกในที่สุด Volexity ระบุกลุ่มมัลแวร์ที่แตกต่างกันห้ากลุ่มที่เกี่ยวข้องกับภัยคุกคาม แบ็คดอร์ PowerLess ได้รับการติดตั้งโดยแอปพลิเคชันเครือข่ายส่วนตัวเสมือน (VPN) เวอร์ชัน Windows ที่เต็มไปด้วยมัลแวร์ ซึ่งใช้ PowerShell เพื่ออนุญาตให้ถ่ายโอนและดำเนินการไฟล์ รวมถึงการกำหนดเป้าหมายข้อมูลเฉพาะบนระบบ การบันทึกการกดแป้นพิมพ์ และการจับภาพหน้าจอ . มัลแวร์เวอร์ชัน macOS ได้รับการขนานนามว่า NokNok ในขณะที่กลุ่มมัลแวร์แยกต่างหากที่ใช้ไฟล์ RAR และการใช้ประโยชน์จาก LNK จะนำไปสู่แบ็คดอร์ชื่อ Basicstar

การป้องกันกลายเป็นเรื่องยากมากขึ้น

แนวทางของกลุ่มในด้านวิศวกรรมสังคมได้รวมเอาส่วน "การคงอยู่" ของภัยคุกคามขั้นสูงแบบถาวร (APT) ไว้อย่างชัดเจน ความปั่นป่วนมองเห็น "การโจมตีอย่างต่อเนื่อง" ของการโจมตี ดังนั้นผู้เชี่ยวชาญด้านนโยบายจึงต้องสงสัยมากยิ่งขึ้นเกี่ยวกับการติดต่อที่เย็นชา Adair กล่าว

การทำเช่นนี้จะเป็นเรื่องยาก เนื่องจากผู้เชี่ยวชาญด้านนโยบายจำนวนมากเป็นนักวิชาการที่มีการติดต่อกับนักศึกษาหรือบุคคลทั่วไปอยู่ตลอดเวลา และไม่คุ้นเคยกับการเข้มงวดกับการติดต่อของพวกเขา เขากล่าว แต่พวกเขาควรคิดก่อนที่จะเปิดเอกสารหรือป้อนข้อมูลรับรองลงในไซต์ที่เข้าถึงผ่านลิงก์ที่ไม่รู้จัก

“ท้ายที่สุดแล้ว พวกเขาต้องให้คนคลิกอะไรบางอย่างหรือเปิดอะไรบางอย่าง ซึ่งถ้าฉันต้องการให้คุณทบทวนบทความหรืออะไรทำนองนั้น นั่นหมายถึง … ต้องระวังลิงก์และไฟล์ให้มาก” Adair กล่าว “หากฉันต้องป้อนข้อมูลประจำตัวของฉัน ณ เวลาใดเวลาหนึ่ง หรืออนุญาตบางสิ่ง นั่นควรเป็นธงสีแดงที่สำคัญ ในทำนองเดียวกัน หากฉันถูกขอให้ดาวน์โหลดบางอย่าง นั่นก็ควรจะเป็นสัญญาณอันตรายขนาดใหญ่”

นอกจากนี้ ผู้เชี่ยวชาญด้านนโยบายจำเป็นต้องเข้าใจว่า CharmingCypress จะยังคงกำหนดเป้าหมายพวกเขาต่อไป แม้ว่าความพยายามจะล้มเหลวก็ตาม Volexity กล่าว 

“ผู้คุกคามรายนี้มีความมุ่งมั่นอย่างมากในการเฝ้าระวังเป้าหมายเพื่อกำหนดวิธีที่ดีที่สุดในการจัดการกับพวกมันและปรับใช้มัลแวร์” บริษัทระบุในคำแนะนำ “นอกจากนี้ ผู้ก่อภัยคุกคามรายอื่นๆ เพียงไม่กี่รายยังได้ปั่นออกแคมเปญจำนวนมากพอๆ กับ CharmingCypress อย่างต่อเนื่อง โดยทุ่มเทผู้ปฏิบัติงานที่เป็นมนุษย์เพื่อสนับสนุนความพยายามอย่างต่อเนื่องของพวกเขา”

• เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
• PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
• เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
• เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
• เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
• ที่มา: https://www.darkreading.com/vulnerabilities-threats/iran-backed-charming-kitten-stages-fake-webinar-platform-to-ensnare-targets