Giai đoạn mèo con quyến rũ được Iran hậu thuẫn Nền tảng hội thảo trực tuyến giả để bắt giữ các mục tiêu

Xung đột ở Trung Đông, Ukraine và các khu vực căng thẳng địa chính trị âm ỉ khác đã khiến các chuyên gia chính sách trở thành mục tiêu mới nhất của các hoạt động mạng do các nhóm được nhà nước bảo trợ thực hiện. 

Một nhóm liên kết với Iran - được gọi là Charming Kitten, CharmingCypress và APT42 - gần đây đã nhắm mục tiêu vào các chuyên gia chính sách Trung Đông trong khu vực cũng như ở Mỹ và Châu Âu, sử dụng nền tảng hội thảo trực tuyến giả mạo để xâm phạm các nạn nhân mục tiêu của mình, công ty dịch vụ ứng phó sự cố Volexity nêu trong một lời khuyên được công bố trong tháng này.

Công ty cho biết, Charming Kitten nổi tiếng với các chiến thuật kỹ thuật xã hội sâu rộng, bao gồm các cuộc tấn công kỹ thuật xã hội ở mức độ thấp và chậm nhằm vào các tổ chức tư vấn và nhà báo để thu thập thông tin tình báo chính trị. 

Nhóm này thường lừa mục tiêu cài đặt các ứng dụng VPN gian lận bằng Trojan để có quyền truy cập vào nền tảng hội thảo trên web giả mạo và các trang web khác, dẫn đến việc cài đặt phần mềm độc hại. Nhìn chung, nhóm đã chấp nhận trò chơi tự tin lâu dài, Steven Adair, người đồng sáng lập và chủ tịch của Volexity cho biết.

“Tôi không biết liệu điều đó có phức tạp và tiên tiến hay không nhưng cần rất nhiều nỗ lực,” ông nói. “Nó tiên tiến hơn và phức tạp hơn đáng kể so với đòn tấn công thông thường của bạn. Đó là mức độ nỗ lực và cống hiến… chắc chắn là khác biệt và không phổ biến… để bỏ ra nhiều công sức như vậy cho một loạt đòn tấn công cụ thể như vậy.”

Các chuyên gia địa chính trị trong tầm ngắm

Các chuyên gia chính sách thường xuyên là mục tiêu của các nhóm quốc gia. Các Nhóm ColdRiver liên kết với Ngachẳng hạn, đã nhắm mục tiêu vào các tổ chức phi chính phủ, sĩ quan quân đội và các chuyên gia khác bằng cách sử dụng kỹ thuật xã hội để lấy lòng tin của nạn nhân và sau đó theo dõi một liên kết độc hại hoặc phần mềm độc hại. Ở Jordan, việc khai thác có chủ đích - theo báo cáo của các cơ quan chính phủ - đã sử dụng chương trình phần mềm gián điệp Pegasus được phát triển bởi Tập đoàn NSO và nhắm mục tiêu vào các nhà báo, luật sư về quyền kỹ thuật số và các chuyên gia chính sách khác. 

Các công ty khác cũng đã mô tả chiến thuật của Charming Kitten/CharmingCypress. Trong một lời khuyên vào tháng Giêng, Microsoft cảnh báo rằng nhóm có tên Mint Sandstorm đã nhắm mục tiêu vào các nhà báo, nhà nghiên cứu, giáo sư và các chuyên gia khác về các chủ đề chính sách và an ninh mà chính phủ Iran quan tâm.

Microsoft cho biết: “Các nhà điều hành liên kết với nhóm con này của Mint Sandstorm là những kỹ sư xã hội kiên nhẫn và có tay nghề cao, những người có kỹ năng nghề nghiệp thiếu nhiều dấu hiệu nổi bật cho phép người dùng nhanh chóng xác định các email lừa đảo”. “Trong một số trường hợp của chiến dịch này, nhóm nhỏ này cũng sử dụng các tài khoản hợp pháp nhưng bị xâm phạm để gửi mồi lừa đảo.”

Nhóm đã hoạt động ít nhất từ ​​năm 2013, đã liên kết chặt chẽ với Lực lượng Vệ binh Cách mạng Hồi giáo (IRGC)Theo công ty an ninh mạng CrowdStrike, và không trực tiếp tham gia vào khía cạnh hoạt động mạng của cuộc xung đột giữa Israel và Hamas. 

“Không giống như cuộc chiến Nga-Ukraine, nơi các hoạt động mạng được biết đến đã trực tiếp góp phần vào cuộc xung đột, những người liên quan đến cuộc xung đột Israel-Hamas đã không trực tiếp góp phần vào các hoạt động quân sự của Hamas chống lại Israel,” công ty tuyên bố trong cuốn sách “Mối đe dọa toàn cầu năm 2024”. Báo cáo” được phát hành vào ngày 21 tháng XNUMX.

Xây dựng mối quan hệ theo thời gian

Theo các cuộc tấn công này, các cuộc tấn công này thường bắt đầu bằng lừa đảo trực tuyến và kết thúc bằng sự kết hợp của phần mềm độc hại được gửi đến hệ thống của mục tiêu. lời khuyên từ Volexity, gọi nhóm là CharmingCypress. Vào tháng 2023 và tháng XNUMX năm XNUMX, CharmingCypress đã sử dụng một số miền bị lỗi đánh máy — các địa chỉ tương tự như các miền hợp pháp — để đóng giả là quan chức của Viện Nghiên cứu Iran Quốc tế (IIIS) để mời các chuyên gia chính sách tham gia hội thảo trên web. Email đầu tiên thể hiện cách tiếp cận chậm rãi của CharmingCypress, tránh mọi liên kết hoặc tệp đính kèm độc hại và mời chuyên gia được nhắm mục tiêu tiếp cận thông qua các kênh liên lạc khác, chẳng hạn như WhatsApp và Signal. 

Sử dụng kỹ thuật lừa đảo chuyên sâu, CharmingCypress nhằm mục đích thuyết phục các chuyên gia chính sách cài đặt phần mềm độc hại. Nguồn: Volexity

Adair cho biết các cuộc tấn công nhắm vào các chuyên gia chính sách Trung Đông trên toàn thế giới, trong đó Volexity gặp phải phần lớn các cuộc tấn công nhằm vào các chuyên gia châu Âu và Mỹ.

“Họ khá hung hãn,” ông nói. “Họ thậm chí sẽ thiết lập toàn bộ chuỗi email hoặc một kịch bản lừa đảo trong đó họ đang tìm kiếm bình luận và có những người khác — có thể là ba, bốn hoặc năm người trên chuỗi email đó ngoại trừ mục tiêu — họ chắc chắn đang cố gắng để xây dựng mối quan hệ.”

Con lừa dài cuối cùng sẽ cung cấp một tải trọng. Volexity đã xác định được 5 họ phần mềm độc hại khác nhau có liên quan đến mối đe dọa này. Cửa hậu PowerLess được cài đặt bởi phiên bản Windows của ứng dụng mạng riêng ảo (VPN) chứa phần mềm độc hại, sử dụng PowerShell để cho phép truyền và thực thi các tệp, cũng như nhắm mục tiêu dữ liệu cụ thể trên hệ thống, ghi lại các lần nhấn phím và chụp ảnh màn hình . Phiên bản macOS của phần mềm độc hại này được đặt tên là NokNok, trong khi một chuỗi phần mềm độc hại riêng biệt sử dụng kho lưu trữ RAR và khai thác LNK dẫn đến một cửa hậu có tên Basicstar.

Phòng thủ trở nên khó khăn hơn

Cách tiếp cận của nhóm đối với kỹ thuật xã hội chắc chắn thể hiện phần “kiên trì” của mối đe dọa dai dẳng nâng cao (APT). Adair cho biết, Volexity nhận thấy “hàng loạt cuộc tấn công liên tục”, vì vậy các chuyên gia chính sách càng phải nghi ngờ hơn về những liên hệ lạnh lùng.

Ông nói, làm như vậy sẽ khó khăn vì nhiều chuyên gia chính sách là học giả thường xuyên tiếp xúc với sinh viên hoặc công chúng và không quen với việc nghiêm khắc trong việc tiếp xúc với họ. Tuy nhiên, họ chắc chắn nên suy nghĩ trước khi mở tài liệu hoặc nhập thông tin đăng nhập vào một trang web được truy cập thông qua một liên kết không xác định.

Adair nói: “Vào cuối ngày, họ phải yêu cầu người đó nhấp vào thứ gì đó hoặc mở thứ gì đó, điều này nếu tôi muốn bạn xem lại một bài báo hoặc thứ gì đó tương tự, có nghĩa là… phải hết sức cảnh giác với các liên kết và tập tin”. “Nếu tôi phải nhập thông tin xác thực của mình vào bất kỳ thời điểm nào hoặc ủy quyền điều gì đó – đó sẽ là một cảnh báo nghiêm trọng. Tương tự như vậy, nếu tôi được yêu cầu tải xuống thứ gì đó thì đó sẽ là một cảnh báo khá lớn.”

Ngoài ra, các chuyên gia chính sách cần hiểu rằng CharmingCypress sẽ tiếp tục nhắm mục tiêu vào họ ngay cả khi nỗ lực của họ thất bại, Volexity tuyên bố. 

Công ty cho biết trong lời khuyên của mình: “Tác nhân đe dọa này rất cam kết tiến hành giám sát các mục tiêu của chúng để xác định cách tốt nhất để thao túng chúng và triển khai phần mềm độc hại”. “Ngoài ra, rất ít tác nhân đe dọa khác đã liên tục thực hiện nhiều chiến dịch như CharmingCypress, cống hiến những người điều hành con người để hỗ trợ những nỗ lực không ngừng của họ.”

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
• PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
• Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
• PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
• nguồn: https://www.darkreading.com/vulnerabilities-threats/iran-backed-charming-kitten-stages-fake-webinar-platform-to-ensnare-targets