TA453 olarak da bilinen Charming Kitten, 2017’den beri çeşitli saldırılar düzenleyen İran hükümeti merkezli bir siber savaş grubudur.
Mayıs 2023’ün ortalarında, bu tehdit aktörleri, “Küresel Güvenlik Bağlamında İran” adlı bir projenin geri bildirimiyle ilgili olarak Birleşik Kraliyet Hizmetleri Enstitüsü’nün (RUSI) Kıdemli Üyesi kılığında iyi niyetli bir e-posta gönderdi.
.png
)
E-posta ayrıca, tehdit aktörlerinin kurbanlara inanmanın bir parçası olarak temas kurduğu diğer nükleer güvenlik uzmanlarından da oluşuyordu. Bu e-posta kampanyası için kullanılan e-posta hesaplarının oluşturulduğu ve gizliliğinin ihlal edilmediği tespit edildi.
Charming Kitten – TTP’lerine Genel Bakış
İlk e-postadan sonra tehdit aktörleri, kurbanları şifreyle şifrelenmiş bir .rar dosyası (Abraham Accords & MENA.rar) ve .LNK dosyasından (Abraham Accords & MENA) oluşan bir Dropbox URL’sine yönlendiren Google komut dosyası makrolarını hedeflerine gönderir. .pdf.lnk).
Dropper ve Ek Kötü Amaçlı Yazılım
.LNK dosyası (Abraham Accords & MENA.pdf.lnk), Gorjol işlevini kullanan ve C2 sunucusuyla bağlantı kurmak için çeşitli PowerShell komutlarını yürüten damlalık görevi görür. Bağlantı kurulduktan sonra, sunucudan base64 kodlu bir .txt dosyası (ilk Borjol işlevi) indirir.
Bu Borjol işlevinin kodu çözüldükten sonra işlev, fuschia-rhinestone.cleverapps adresinde bulunan C2 ile iletişim kurar.[.]İlk Borjol işlevinde aynı değişkenleri kullanan başka bir şifreli Borjol işlevini (ikinci Borjol işlevi) indirmek için io.
Bu ikinci Borjol işlevi, tehdit aktörleri tarafından sistemde kalıcılık elde etmek için kullanılan PowerShell Arka Kapısının (GorjolEcho) şifresini çözer. Bu arka kapı, verilerin C2’ye sızmasından önce bir sahte PDF ile başlatılır.
Mac Kötü Amaçlı Yazılım
Proofpoint’in araştırmasına göre, kötü amaçlı yazılım bir Apple bilgisayarında çalışmadı. Ancak, ilk iletişimden bir hafta sonra tehdit aktörleri, Mac işletim sistemlerine de saldırabilecek başka bir yeni bulaşma zinciri gönderdi.
Bu kez, bir Apple betik dosyasını çalıştıran ve işlevi C2 () ile indirmek için curl komutunu kullanan bir RUSI VPN Çözümü kılığında kötü amaçlı yazılım gönderdiler.kütüphane mağazası[.]yanlış[.]kuruluş/DMPR/[alphanumeric string]) 144.217.129’a çözümleniyor[.]176, bir OVH IP’si.
PowerShell arka kapısı yerine bu sefer sistemde kalıcılık sağlamak için bir bash betiği (NokNok) kullanıldı.
Tespit çabalarından kaçınmak ve ilgilendiği hedefe karşı siber casusluk operasyonları yürütmek için TA453, bulaşma zincirlerini önemli ölçüde değiştirmeye devam ediyor.
Google Scripts, Dropbox ve CleverApps’in kullanılması, TA453’ün tehdit avcılarından kaynaklanan kesintileri muhtemelen sınırlandırma çabalarında bir çoklu bulut stratejisine bağlı kalmaya devam ettiğini gösteriyor.
Uzlaşma Göstergeleri
| Gösterge |
| 464c5cd7dd4f32a0893b9fff412b52165855a94d193c08b114858430c26a9f1d |
| ddead6e794b72af26d23065c463838c385a8fdffofb1b8940cd2c23c3569e43b |
| 1fb7f1bf97b72379494ea140c42d6ddd53f0a78ce22e9192cfba3bae58251baba |
| e98afa8550f81196e456c0cd4397120469212e190027e33a1131f602892b5f79 |
| 5dc7e84813f0dae2e72508d178aed241f8508796e59e33da63bd6b481f507026 |
| b6916b5980e79a2d20b4c433ad8e5e34fe9683ee61a42b0730effc6f056191eb |
| acfa8a5306b702d610620a07040262538dd59820d5a42cf01fd9094ce5cc3487c |
| kütüphane mağazası[.]Jcamdvrl[.Jorg |
| 144.217.129[.]176 |
| dosya yöneticisi.theworkpc[.Jcom |
| fuschia-rhinestone.cleverappsl.]ben |
“Yapay zeka tabanlı e-posta güvenlik önlemleri İşletmenizi E-posta Tehditlerinden Koruyun!” – Ücretsiz Demo İsteyin.