Чарівне кошеня, яке підтримується Іраном, організовує фальшиву платформу для вебінарів, щоб зловити цілі

Конфлікти на Близькому Сході, в Україні та в інших областях, де кипить геополітична напруженість, зробили експертів з політики останньою ціллю кібероперацій, які проводять спонсоровані державою групи. 

Пов’язана з Іраном група, відома як Charming Kitten, CharmingCypress і APT42, нещодавно націлилася на експертів із політики Близького Сходу в регіоні, а також у США та Європі, використовуючи фальшиву платформу вебінарів, щоб скомпрометувати своїх цільових жертв, компанію Volexity, що надає послуги з реагування на інциденти. зазначено в повідомленні, опублікованому цього місяця.

Компанія Charming Kitten добре відома своєю широкомасштабною тактикою соціальної інженерії, включаючи низькі та повільні атаки соціальної інженерії на аналітичні центри та журналістів для збору політичної розвідки, заявила фірма. 

Група часто вводить в оману цільову установку троянських програм VPN, щоб отримати доступ до підробленої платформи вебінарів та інших сайтів, що призводить до встановлення зловмисного програмного забезпечення. Загалом, група прийняла тривалу гру довіри, каже Стівен Адер, співзасновник і президент Volexity.

«Я не знаю, чи обов’язково це складно та просунуто, але це вимагає великих зусиль», – каже він. «Це набагато досконаліша та досконаліша, ніж ваша звичайна атака. Це рівень зусиль і самовідданості… це, безумовно, відмінність і незвичайність… докласти стільки зусиль для такого специфічного набору атак».

Геополітичні експерти під прицілом

Експерти з політики часто стають мішенню груп національних держав. The Пов'язана з Росією група ColdRiver, наприклад, спрямовано проти неурядових організацій, військових офіцерів та інших експертів, які використовують соціальну інженерію, щоб завоювати довіру жертви, а потім розміщують зловмисне посилання чи шкідливе програмне забезпечення. У Йорданії цілеспрямована експлуатація — за повідомленнями урядових установ — використовував шпигунську програму Pegasus розроблений NSO Group і призначений для журналістів, юристів із цифрових прав та інших експертів з політики. 

Інші компанії також описали тактику Charming Kitten/CharmingCypress. У січневому повідомленні Microsoft попередила що група, яку вона називає Mint Sandstorm, націлилася на журналістів, дослідників, професорів та інших експертів, які висвітлювали питання безпеки та політики, що цікавили іранський уряд.

«Оператори, пов’язані з цією підгрупою Mint Sandstorm, є терплячими та висококваліфікованими соціальними інженерами, чия майстерність не має багатьох ознак, які дозволяють користувачам швидко ідентифікувати фішингові електронні листи», – заявила Microsoft. «У деяких випадках цієї кампанії ця підгрупа також використовувала законні, але скомпрометовані облікові записи для надсилання фішингових принад».

Група працює щонайменше з 2013 року тісні зв’язки з Корпусом вартових ісламської революції (КВІР), і не брав безпосередньої участі в кіберопераційному аспекті конфлікту між Ізраїлем і ХАМАС, за даними фірми з кібербезпеки CrowdStrike. 

«На відміну від російсько-української війни, де відомі кібероперації безпосередньо сприяли конфлікту, ті, хто бере участь у конфлікті Ізраїлю та ХАМАС, не брали прямого внеску у військові операції ХАМАС проти Ізраїлю», — заявила компанія у своїй «Глобальній загрозі 2024». Звіт», випущений 21 лютого.

Побудова стосунків з часом

Ці атаки зазвичай починаються з фішингу та закінчуються комбінацією зловмисного програмного забезпечення, яке доставляється в цільову систему, відповідно до порада від Volexity, яка називає групу CharmingCypress. У вересні та жовтні 2023 року CharmingCypress використовував низку доменів із помилками — адреси, схожі на законні домени, — щоб видати себе за офіційних осіб Міжнародного інституту іранських досліджень (IIIS), щоб запросити експертів з політики на вебінар. Початковий електронний лист продемонстрував низький і повільний підхід CharmingCypress, уникаючи будь-яких шкідливих посилань або вкладень і запрошуючи цільового спеціаліста зв’язатися через інші канали зв’язку, такі як WhatsApp і Signal. 

Використовуючи поглиблений фішінг, CharmingCypress має на меті переконати експертів із політики встановити зловмисне програмне забезпечення. Джерело: Volexity

Ці атаки націлені на експертів з політики Близького Сходу по всьому світу, причому Volexity стикається з більшістю атак проти європейських і американських професіоналів, каже Адер.

«Вони досить агресивні, — каже він. «Вони навіть створюють цілий ланцюжок електронних листів або сценарій фішингу, коли вони шукають коментарі, а в цьому ланцюжку електронних листів є інші люди — можливо, три, чотири чи п’ять осіб, за винятком цілі — вони точно намагаються будувати стосунки».

Довга афера врешті дає корисне навантаження. Volexity виявив п'ять різних сімей шкідливих програм, пов'язаних із загрозою. Бекдор PowerLess встановлюється версією Windows програми віртуальної приватної мережі (VPN), завантаженої зловмисним програмним забезпеченням, яка використовує PowerShell для передачі та виконання файлів, а також для націлювання на певні дані в системі, реєстрації натискань клавіш і створення знімків екрана. . Версія зловмисного програмного забезпечення для macOS називається NokNok, а окремий ланцюжок зловмисного програмного забезпечення, що використовує архів RAR і експлойт LNK, веде до бекдору під назвою Basicstar.

Захищатися стає важче

Підхід групи до соціальної інженерії, безумовно, втілює частину «постійності» передової стійкої загрози (APT). Volexity бачить «постійний шквал» атак, тому експертам з політики доводиться ще більш підозріло ставитися до холодних контактів, каже Адер.

Зробити це буде важко, оскільки багато експертів з питань політики є науковцями, які постійно контактують зі студентами чи представниками громадськості та не звикли бути суворими у своїх контактах, каже він. Однак їм обов’язково слід подумати, перш ніж відкривати документи або вводити облікові дані на сайті, на який ви перейшли за невідомим посиланням.

«Зрештою, вони повинні змусити людину натиснути щось або відкрити щось, що, якщо я хочу, щоб ви переглянули статтю чи щось подібне, означає… дуже обережно ставитися до посилань і файлів», — каже Адер. «Якщо мені доведеться в будь-який момент часу ввести свої облікові дані або щось авторизувати — це має бути серйозною проблемою. Так само, якщо мене попросять щось завантажити, це має бути досить серйозним червоним прапором».

Крім того, експерти з політики повинні розуміти, що CharmingCypress продовжуватиме націлюватися на них, навіть якщо його спроби будуть невдалими, заявив Volexity. 

«Цей загрозливий суб’єкт дуже відданий веденню спостереження за своїми цілями, щоб визначити, як найкраще маніпулювати ними та розгортати зловмисне програмне забезпечення», — заявила компанія у своєму повідомленні. «Крім того, небагато інших суб’єктів загрози постійно створювали стільки кампаній, як CharmingCypress, залучаючи людей-операторів для підтримки їхніх поточних зусиль».

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
• PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
• ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
• PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
• джерело: https://www.darkreading.com/vulnerabilities-threats/iran-backed-charming-kitten-stages-fake-webinar-platform-to-ensnare-targets