Xung đột ở Trung Đông, Ukraine và các khu vực căng thẳng địa chính trị âm ỉ khác đã khiến các chuyên gia chính sách trở thành mục tiêu mới nhất của các hoạt động mạng do các nhóm được nhà nước bảo trợ thực hiện.
Một nhóm liên kết với Iran - được gọi là Charming Kitten, CharmingCypress và APT42 - gần đây đã nhắm mục tiêu vào các chuyên gia chính sách Trung Đông trong khu vực cũng như ở Mỹ và Châu Âu, sử dụng nền tảng hội thảo trực tuyến giả mạo để xâm phạm các nạn nhân mục tiêu của mình, công ty dịch vụ ứng phó sự cố Volexity nêu trong một lời khuyên được công bố trong tháng này.
Công ty cho biết, Charming Kitten nổi tiếng với các chiến thuật kỹ thuật xã hội sâu rộng, bao gồm các cuộc tấn công kỹ thuật xã hội ở mức độ thấp và chậm nhằm vào các tổ chức tư vấn và nhà báo để thu thập thông tin tình báo chính trị.
Nhóm này thường lừa mục tiêu cài đặt các ứng dụng VPN gian lận bằng Trojan để có quyền truy cập vào nền tảng hội thảo trên web giả mạo và các trang web khác, dẫn đến việc cài đặt phần mềm độc hại. Nhìn chung, nhóm đã chấp nhận trò chơi tự tin lâu dài, Steven Adair, người đồng sáng lập và chủ tịch của Volexity cho biết.
“Tôi không biết liệu điều đó có phức tạp và tiên tiến hay không nhưng cần rất nhiều nỗ lực,” ông nói. “Nó tiên tiến hơn và phức tạp hơn đáng kể so với đòn tấn công thông thường của bạn. Đó là mức độ nỗ lực và cống hiến… chắc chắn là khác biệt và không phổ biến… để bỏ ra nhiều công sức như vậy cho một loạt đòn tấn công cụ thể như vậy.”
Các chuyên gia địa chính trị trong tầm ngắm
Các chuyên gia chính sách thường xuyên là mục tiêu của các nhóm quốc gia. Các Nhóm ColdRiver liên kết với Ngachẳng hạn, đã nhắm mục tiêu vào các tổ chức phi chính phủ, sĩ quan quân đội và các chuyên gia khác bằng cách sử dụng kỹ thuật xã hội để lấy lòng tin của nạn nhân và sau đó theo dõi một liên kết độc hại hoặc phần mềm độc hại. Ở Jordan, việc khai thác có chủ đích - theo báo cáo của các cơ quan chính phủ - đã sử dụng chương trình phần mềm gián điệp Pegasus được phát triển bởi Tập đoàn NSO và nhắm mục tiêu vào các nhà báo, luật sư về quyền kỹ thuật số và các chuyên gia chính sách khác.
Các công ty khác cũng đã mô tả chiến thuật của Charming Kitten/CharmingCypress. Trong một lời khuyên vào tháng Giêng, Microsoft cảnh báo rằng nhóm có tên Mint Sandstorm đã nhắm mục tiêu vào các nhà báo, nhà nghiên cứu, giáo sư và các chuyên gia khác về các chủ đề chính sách và an ninh mà chính phủ Iran quan tâm.
Microsoft cho biết: “Các nhà điều hành liên kết với nhóm con này của Mint Sandstorm là những kỹ sư xã hội kiên nhẫn và có tay nghề cao, những người có kỹ năng nghề nghiệp thiếu nhiều dấu hiệu nổi bật cho phép người dùng nhanh chóng xác định các email lừa đảo”. “Trong một số trường hợp của chiến dịch này, nhóm nhỏ này cũng sử dụng các tài khoản hợp pháp nhưng bị xâm phạm để gửi mồi lừa đảo.”
Nhóm đã hoạt động ít nhất từ năm 2013, đã liên kết chặt chẽ với Lực lượng Vệ binh Cách mạng Hồi giáo (IRGC)Theo công ty an ninh mạng CrowdStrike, và không trực tiếp tham gia vào khía cạnh hoạt động mạng của cuộc xung đột giữa Israel và Hamas.
“Không giống như cuộc chiến Nga-Ukraine, nơi các hoạt động mạng được biết đến đã trực tiếp góp phần vào cuộc xung đột, những người liên quan đến cuộc xung đột Israel-Hamas đã không trực tiếp góp phần vào các hoạt động quân sự của Hamas chống lại Israel,” công ty tuyên bố trong cuốn sách “Mối đe dọa toàn cầu năm 2024”. Báo cáo” được phát hành vào ngày 21 tháng XNUMX.
Xây dựng mối quan hệ theo thời gian
Theo các cuộc tấn công này, các cuộc tấn công này thường bắt đầu bằng lừa đảo trực tuyến và kết thúc bằng sự kết hợp của phần mềm độc hại được gửi đến hệ thống của mục tiêu. lời khuyên từ Volexity, gọi nhóm là CharmingCypress. Vào tháng 2023 và tháng XNUMX năm XNUMX, CharmingCypress đã sử dụng một số miền bị lỗi đánh máy — các địa chỉ tương tự như các miền hợp pháp — để đóng giả là quan chức của Viện Nghiên cứu Iran Quốc tế (IIIS) để mời các chuyên gia chính sách tham gia hội thảo trên web. Email đầu tiên thể hiện cách tiếp cận chậm rãi của CharmingCypress, tránh mọi liên kết hoặc tệp đính kèm độc hại và mời chuyên gia được nhắm mục tiêu tiếp cận thông qua các kênh liên lạc khác, chẳng hạn như WhatsApp và Signal.
Sử dụng kỹ thuật lừa đảo chuyên sâu, CharmingCypress nhằm mục đích thuyết phục các chuyên gia chính sách cài đặt phần mềm độc hại. Nguồn: Volexity
Adair cho biết các cuộc tấn công nhắm vào các chuyên gia chính sách Trung Đông trên toàn thế giới, trong đó Volexity gặp phải phần lớn các cuộc tấn công nhằm vào các chuyên gia châu Âu và Mỹ.
“Họ khá hung hãn,” ông nói. “Họ thậm chí sẽ thiết lập toàn bộ chuỗi email hoặc một kịch bản lừa đảo trong đó họ đang tìm kiếm bình luận và có những người khác — có thể là ba, bốn hoặc năm người trên chuỗi email đó ngoại trừ mục tiêu — họ chắc chắn đang cố gắng để xây dựng mối quan hệ.”
Con lừa dài cuối cùng sẽ cung cấp một tải trọng. Volexity đã xác định được 5 họ phần mềm độc hại khác nhau có liên quan đến mối đe dọa này. Cửa hậu PowerLess được cài đặt bởi phiên bản Windows của ứng dụng mạng riêng ảo (VPN) chứa phần mềm độc hại, sử dụng PowerShell để cho phép truyền và thực thi các tệp, cũng như nhắm mục tiêu dữ liệu cụ thể trên hệ thống, ghi lại các lần nhấn phím và chụp ảnh màn hình . Phiên bản macOS của phần mềm độc hại này được đặt tên là NokNok, trong khi một chuỗi phần mềm độc hại riêng biệt sử dụng kho lưu trữ RAR và khai thác LNK dẫn đến một cửa hậu có tên Basicstar.
Phòng thủ trở nên khó khăn hơn
Cách tiếp cận của nhóm đối với kỹ thuật xã hội chắc chắn thể hiện phần “kiên trì” của mối đe dọa dai dẳng nâng cao (APT). Adair cho biết, Volexity nhận thấy “hàng loạt cuộc tấn công liên tục”, vì vậy các chuyên gia chính sách càng phải nghi ngờ hơn về những liên hệ lạnh lùng.
Ông nói, làm như vậy sẽ khó khăn vì nhiều chuyên gia chính sách là học giả thường xuyên tiếp xúc với sinh viên hoặc công chúng và không quen với việc nghiêm khắc trong việc tiếp xúc với họ. Tuy nhiên, họ chắc chắn nên suy nghĩ trước khi mở tài liệu hoặc nhập thông tin đăng nhập vào một trang web được truy cập thông qua một liên kết không xác định.
Adair nói: “Vào cuối ngày, họ phải yêu cầu người đó nhấp vào thứ gì đó hoặc mở thứ gì đó, điều này nếu tôi muốn bạn xem lại một bài báo hoặc thứ gì đó tương tự, có nghĩa là… phải hết sức cảnh giác với các liên kết và tập tin”. “Nếu tôi phải nhập thông tin xác thực của mình vào bất kỳ thời điểm nào hoặc ủy quyền điều gì đó – đó sẽ là một cảnh báo nghiêm trọng. Tương tự như vậy, nếu tôi được yêu cầu tải xuống thứ gì đó thì đó sẽ là một cảnh báo khá lớn.”
Ngoài ra, các chuyên gia chính sách cần hiểu rằng CharmingCypress sẽ tiếp tục nhắm mục tiêu vào họ ngay cả khi nỗ lực của họ thất bại, Volexity tuyên bố.
Công ty cho biết trong lời khuyên của mình: “Tác nhân đe dọa này rất cam kết tiến hành giám sát các mục tiêu của chúng để xác định cách tốt nhất để thao túng chúng và triển khai phần mềm độc hại”. “Ngoài ra, rất ít tác nhân đe dọa khác đã liên tục thực hiện nhiều chiến dịch như CharmingCypress, cống hiến những người điều hành con người để hỗ trợ những nỗ lực không ngừng của họ.”
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
- PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
- Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
- PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
- nguồn: https://www.darkreading.com/vulnerabilities-threats/iran-backed-charming-kitten-stages-fake-webinar-platform-to-ensnare-targets
- : có
- :là
- :không phải
- :Ở đâu
- $ LÊN
- 2013
- 2023
- 2024
- 7
- 9
- a
- học giả
- truy cập
- Theo
- Trợ Lý Giám Đốc
- hoạt động
- diễn viên
- Ngoài ra
- Ngoài ra
- địa chỉ
- tiên tiến
- cố vấn
- chống lại
- cơ quan
- tích cực
- Mục tiêu
- cho phép
- Ngoài ra
- an
- và
- bất kì
- Các Ứng Dụng
- các ứng dụng
- phương pháp tiếp cận
- APT
- lưu trữ
- LÀ
- khu vực
- AS
- khía cạnh
- liên kết
- At
- tấn công
- Các cuộc tấn công
- Nỗ lực
- ủy quyền
- Trung bình cộng
- cửa sau
- đập ngăn nước
- BE
- trở nên
- trở thành
- được
- trước
- được
- BEST
- giữa
- lớn
- xây dựng
- Xây dựng
- nhưng
- by
- Cuộc gọi
- Chiến dịch
- Chiến dịch
- Chụp
- chuỗi
- chuỗi
- kênh
- Nhấp chuột
- Đồng sáng lập
- lạnh
- kết hợp
- bình luận
- cam kết
- Truyền thông
- Các công ty
- công ty
- thỏa hiệp
- Thỏa hiệp
- thực hiện
- Tiến hành
- sự tự tin
- xung đột
- nhất quán
- không thay đổi
- liên lạc
- Liên hệ
- tiếp tục
- đóng góp
- thuyết phục
- quân đoàn
- bao gồm
- Credentials
- xuyên âm
- không gian mạng
- An ninh mạng
- dữ liệu
- ngày
- sự cống hiến
- Bảo vệ
- chắc chắn
- giao
- cung cấp
- chứng minh
- triển khai
- mô tả
- Xác định
- phát triển
- khác nhau
- khó khăn
- trực tiếp
- tài liệu
- lĩnh vực
- don
- tải về
- được mệnh danh là
- Đông
- nỗ lực
- những nỗ lực
- hiện thân
- ôm
- chạm trán
- cuối
- Kỹ Sư
- Kỹ sư
- đăng ký hạng mục thi
- vào
- Toàn bộ
- Châu Âu
- Châu Âu
- Ngay cả
- cuối cùng
- ví dụ
- ngoại lệ
- Thực thi
- các chuyên gia
- Khai thác
- khai thác
- mở rộng
- FAIL
- giả mạo
- gia đình
- Tháng Hai
- vài
- Các tập tin
- Công ty
- năm
- dòng chảy
- tiếp theo
- Trong
- 4
- thường xuyên
- từ
- Thu được
- trò chơi
- thu thập
- địa chính trị
- được
- Toàn cầu
- Go
- Chính phủ
- cơ quan chính phủ
- Nhóm
- Các nhóm
- Lực lượng Cảnh sát
- có
- hamas
- Có
- he
- cao
- Độ đáng tin của
- HTTPS
- Nhân loại
- i
- xác định
- xác định
- if
- hình ảnh
- in
- sâu
- sự cố
- ứng phó sự cố
- Bao gồm
- ban đầu
- cài đặt, dựng lên
- cài đặt
- cài đặt
- Cài đặt
- Viện
- Sự thông minh
- quan tâm
- Quốc Tế
- trong
- mời
- mời
- tham gia
- Người Iran
- Hồi giáo
- Israel
- IT
- ITS
- Tháng một
- Jordan
- Các nhà báo
- Biết
- nổi tiếng
- mới nhất
- luật sư
- Dẫn
- ít nhất
- hợp pháp
- Cấp
- Lượt thích
- LINK
- liên kết
- ll
- khai thác gỗ
- dài
- tìm kiếm
- Rất nhiều
- hệ điều hành Mac
- thực hiện
- chính
- Đa số
- độc hại
- phần mềm độc hại
- nhiều
- Lợi nhuận
- có lẽ
- có nghĩa
- Các thành viên
- microsoft
- Tên đệm
- Trung Đông
- Quân đội
- bạc hà
- tháng
- chi tiết
- nhiều
- my
- Được đặt theo tên
- nhất thiết
- Cần
- mạng
- phi chính phủ
- con số
- Tháng Mười
- of
- cán bộ
- quan chức
- thường
- on
- đang diễn ra
- mở
- mở
- Hoạt động
- khai thác
- or
- gọi món
- tổ chức
- Nền tảng khác
- ra
- kết thúc
- tổng thể
- Giấy
- bệnh nhân
- Pegasus
- người
- kiên trì
- người
- Lừa đảo
- giả mạo
- mảnh
- nền tảng
- plato
- Thông tin dữ liệu Plato
- PlatoDữ liệu
- Điểm
- điều luật
- chính trị
- đặt ra
- PowerShell
- Chủ tịch
- khá
- riêng
- chuyên nghiệp
- chuyên gia
- công khai
- công bố
- Mau
- khá
- RE
- đạt
- đạt
- gần đây
- đỏ
- khu
- phát hành
- báo cáo
- báo cáo
- nhà nghiên cứu
- phản ứng
- kết quả
- xem xét
- cách mạng
- Chiến tranh Nga-Ukraine
- s
- nói
- kịch bản
- ảnh chụp màn hình
- an ninh
- nhìn
- gửi
- riêng biệt
- Tháng Chín
- DỊCH VỤ
- định
- nên
- Tín hiệu
- có ý nghĩa
- tương tự
- Tương tự
- kể từ khi
- website
- Các trang web
- lành nghề
- So
- Mạng xã hội
- Kỹ thuật xã hội
- một số
- một cái gì đó
- tinh vi
- nguồn
- riêng
- Được tài trợ
- phần mềm gián điệp
- giai đoạn
- Bắt đầu
- quy định
- steven
- Nghiêm ngặt
- Sinh viên
- nghiên cứu
- như vậy
- hỗ trợ
- giám sát
- đáng ngờ
- hệ thống
- chiến thuật
- Xe tăng
- Mục tiêu
- nhắm mục tiêu
- nhắm mục tiêu
- mục tiêu
- căng thẳng
- hơn
- việc này
- Sản phẩm
- cung cấp their dịch
- Them
- sau đó
- Đó
- họ
- nghĩ
- điều này
- những
- mối đe dọa
- diễn viên đe dọa
- Báo cáo Đe doạ
- số ba
- Thông qua
- thời gian
- đến
- Chủ đề
- chuyển
- cố gắng
- Ukraina
- Không phổ biến
- hiểu
- không xác định
- không giống
- us
- đã sử dụng
- Người sử dụng
- sử dụng
- sử dụng
- thường
- phiên bản
- rất
- nạn nhân
- nạn nhân
- ảo
- VPN
- muốn
- chiến tranh
- webinar
- TỐT
- cái nào
- trong khi
- có
- sẽ
- cửa sổ
- với
- khắp thế giới
- nhưng
- Bạn
- trên màn hình
- zephyrnet