伊朗支持的迷人小猫搭建虚假网络研讨会平台以诱骗目标

伊朗支持的迷人小猫搭建虚假网络研讨会平台以诱骗目标

时间戳:22年2024月9日上午09:XNUMX

中东、乌克兰和其他地缘政治紧张局势不断加剧的地区的冲突使政策专家成为国家资助团体实施网络行动的最新目标。 

一个与伊朗有关的组织(名为 Charming Kitten、CharmingCypress 和 APT42)最近以该地区以及美国和欧洲的中东政策专家为目标,利用虚假的网络研讨会平台来危害其目标受害者——事件响应服务公司 Volexity本月发布的一份咨询报告中指出。

该公司表示,Charming Kitten 以其广泛的社会工程策略而闻名,包括针对智库和记者进行低而缓慢的社会工程攻击以收集政治情报。 

该组织经常欺骗目标安装木马 VPN 应用程序,以访问虚假网络研讨会平台和其他网站,从而导致安装恶意软件。 Volexity 联合创始人兼总裁 Steven Adair 表示,总体而言,该集团已经接受了长期的信心游戏。

“我不知道这是否一定是复杂和先进的,但这是需要付出很多努力的,”他说。 “它比一般的攻击更先进、更复杂。这是一定程度的努力和奉献精神……这绝对是不同的、不常见的……为这样一组特定的攻击付出如此多的努力。”

十字准线中的地缘政治专家

政策专家经常成为民族国家团体的攻击目标。这 与俄罗斯相关的 ColdRiver 集团例如,它针对非政府组织、军官和其他专家,使用社会工程来获取受害者的信任,然后使用恶意链接或恶意软件进行跟踪。在约旦,有针对性的剥削——据报道是政府机构—— 使用 Pegasus 间谍软件程序 由 NSO 集团开发,目标受众为记者、数字版权律师和其他政策专家。 

其他公司也描述了 Charming Kitten/CharmingCypress 的策略。在一月份的一份咨询中, 微软警告 该组织被称为 Mint Sandstorm,其目标是记者、研究人员、教授和其他专家,涵盖伊朗政府感兴趣的安全和政策主题。

微软表示:“与 Mint Sandstorm 子组织相关的操作者都是耐心且技术精湛的社会工程师,他们的技术缺乏许多允许用户快速识别网络钓鱼电子邮件的特征。” “在此次活动的某些情况下,该小组还使用合法但受到威胁的帐户来发送网络钓鱼诱饵。”

该组织至少自 2013 年以来一直活跃, 与伊斯兰革命卫队 (IRGC) 的密切联系据网络安全公司 CrowdStrike 称,该公司并未直接参与以色列和哈马斯之间冲突的网络行动方面。 

该公司在其《2024 年全球威胁》中表示:“与俄罗斯-乌克兰战争不同,俄罗斯-乌克兰战争中已知的网络行动直接导致了冲突,而参与以色列-哈马斯冲突的人并没有直接促成哈马斯针对以色列的军事行动。”报告”于21月XNUMX日发布。

随着时间的推移建立融洽关系

据介绍,这些攻击通常以鱼叉式网络钓鱼开始,以向目标系统传送恶意软件组合结束 来自 Volexity 的咨询,该团体称为 CharmingCypress。 2023 年 XNUMX 月和 XNUMX 月,CharmingCypress 使用多个拼写错误抢注域名(类似于合法域名的地址)冒充国际伊朗研究所 (IIIS) 的官员,邀请政策专家参加网络研讨会。最初的电子邮件展示了 CharmingCypress 的低速缓慢方法,避开任何恶意链接或附件,并邀请目标专业人士通过其他通信渠道(例如 WhatsApp 和 Signal)进行联系。 

CharmingCypress 使用的鱼叉式网络钓鱼流程

CharmingCypress 使用深度鱼叉式网络钓鱼,旨在说服政策专家安装恶意软件。来源:Volexity

阿代尔表示,这些攻击针对的是世界各地的中东政策专家,其中 Volexity 遇到的大部分攻击针对的是欧洲和美国的专业人士。

“他们非常具有攻击性,”他说。 “他们甚至会设置整个电子邮件链或网络钓鱼场景,在其中寻找评论,并且还有其他人 - 除了目标之外,该电子邮件线程中可能有三、四个或五个人 - 他们肯定在尝试以建立融洽关系。”

长骗局最终会带来有效负载。 Volexity 发现了与该威胁相关的五个不同的恶意软件系列。 PowerLess 后门是由充满恶意软件的虚拟专用网络 (VPN) 应用程序的 Windows 版本安装的,该应用程序使用 PowerShell 允许传输和执行文件,以及针对系统上的特定数据、记录击键和捕获屏幕截图。该恶意软件的 macOS 版本被称为 NokNok,而使用 RAR 存档和 LNK 漏洞的单独恶意软件链会导致名为 Basicstar 的后门。

防守变得更加困难

该组织的社会工程方法无疑体现了高级持续性威胁(APT)的“持久性”部分。阿代尔表示,Volexity 会遭受“持续不断的”攻击,因此政策专家必须对冷接触更加怀疑。

他说,这样做会很困难,因为许多政策专家都是学者,经常与学生或公众接触,不习惯严格控制他们的接触。然而,他们在打开文档或将凭据输入通过未知链接访问的网站之前绝对应该三思。

“归根结底,他们必须让人们点击某些东西或打开某些东西,如果我想让你审阅一篇论文或类似的东西,这意味着......对链接和文件非常警惕,”阿代尔说。 “如果我必须在任何时候输入我的凭据,或者授权某件事——这应该是一个重大的危险信号。同样,如果我被要求下载某些东西,那应该是一个很大的危险信号。”

此外,Volexity 表示,政策专家需要了解,即使尝试失败,CharmingCypress 仍将继续针对他们。 

该公司在其公告中表示:“该威胁行为者高度致力于对其目标进行监视,以确定如何最好地操纵它们并部署恶意软件。” “此外,很少有其他威胁行为者能够像 CharmingCypress 一样持续推出如此多的活动,并专门派出人类操作员来支持他们正在进行的努力。”

时间戳记:

更多来自 暗读