İran Destekli Sevimli Kedicik, Hedefleri Tuzağa Düşürmek İçin Sahte Web Semineri Platformu Kuruyor


Orta Doğu, Ukrayna ve jeopolitik gerilimlerin arttığı diğer bölgelerdeki çatışmalar, politika uzmanlarını devlet destekli gruplar tarafından yürütülen siber operasyonların son hedefi haline getirdi.

Charming Kitten, CharmingCypress ve APT42 olarak bilinen İran bağlantılı bir grup, yakın zamanda bölgedeki, ABD ve Avrupa’daki Orta Doğu politika uzmanlarını hedef aldı ve hedeflenen kurbanları, olay müdahale hizmetleri şirketi Volexity’yi tehlikeye atmak için sahte bir web semineri platformu kullandı. bu ay yayınlanan bir tavsiye belgesinde belirtildi.

Firma, Charming Kitten’ın siyasi istihbarat toplamak amacıyla düşünce kuruluşlarına ve gazetecilere yönelik yavaş ve yavaş sosyal mühendislik saldırıları da dahil olmak üzere kapsamlı sosyal mühendislik taktikleriyle tanındığını belirtti.

Grup genellikle sahte web semineri platformuna ve diğer sitelere erişim sağlamak için Truva atı ile donatılmış VPN uygulamaları yüklemeyi hedef alıyor ve bu da kötü amaçlı yazılım yüklenmesine neden oluyor. Volexity’nin kurucu ortağı ve başkanı Steven Adair, genel olarak grubun uzun süren güven oyununu benimsediğini söylüyor.

“Bunun mutlaka karmaşık ve ileri düzeyde olup olmadığını bilmiyorum, ancak çok fazla çaba gerektiriyor” diyor. “Ortalama saldırınızdan önemli bir farkla daha gelişmiş ve daha karmaşık. Bu kadar spesifik bir saldırı dizisi için bu kadar çaba harcamak kesinlikle farklı ve alışılmadık bir çaba ve adanmışlık seviyesi.”

Jeopolitik Uzmanlar Hedefte

Politika uzmanları sıklıkla ulus devlet grupları tarafından hedef alınmaktadır. Rusya bağlantılı ColdRiver grubuÖrneğin, mağdurun güvenini kazanmak ve ardından kötü amaçlı bir bağlantı veya kötü amaçlı yazılım ile takip etmek için sosyal mühendislik kullanan sivil toplum kuruluşlarını, askeri görevlileri ve diğer uzmanları hedef aldı. Ürdün’de devlet kurumları tarafından hedeflenen sömürü Pegasus casus yazılım programını kullandı NSO Grubu tarafından geliştirildi ve gazetecileri, dijital haklar avukatlarını ve diğer politika uzmanlarını hedef aldı.

Diğer şirketler de Charming Kitten/CharmingCypress’in taktiklerini açıkladılar. Ocak ayı tavsiyesinde, Microsoft uyardı Mint Sandstorm adını verdiği grubun, İran hükümetini ilgilendiren güvenlik ve politika konularını ele alan gazetecileri, araştırmacıları, profesörleri ve diğer uzmanları hedef aldığını söyledi.

Microsoft, “Mint Sandstorm’un bu alt grubuyla ilişkili operatörler, sabırlı ve son derece yetenekli sosyal mühendislerdir; bu mühendislerin ticari becerileri, kullanıcıların kimlik avı e-postalarını hızlı bir şekilde tanımlamasına olanak tanıyan birçok özellikten yoksundur” dedi. “Bu kampanyanın bazı örneklerinde, bu alt grup kimlik avı tuzakları göndermek için meşru ancak güvenliği ihlal edilmiş hesapları da kullandı.”

Grup en az 2013 yılından bu yana aktiftir. İslam Devrim Muhafızları Ordusu (IRGC) ile güçlü bağlantılarSiber güvenlik firması CrowdStrike’a göre İsrail ile Hamas arasındaki çatışmanın siber-operasyonel yönüne doğrudan dahil olmadı.

Şirket, “2024 Küresel Tehdit” raporunda “Bilinen siber operasyonların çatışmaya doğrudan katkıda bulunduğu Rusya-Ukrayna savaşının aksine, İsrail-Hamas çatışmasına katılanlar Hamas’ın İsrail’e yönelik askeri operasyonlarına doğrudan katkıda bulunmadı” dedi. Raporu” 21 Şubat’ta yayınlandı.

Zaman İçinde Uyumluluk Oluşturmak

Bu saldırılar genellikle hedef odaklı kimlik avı ile başlıyor ve hedefin sistemine kötü amaçlı yazılımların gönderilmesiyle sona eriyor. Volexity’den bir tavsiyeCharmingCypress grubunu çağıran. Eylül ve Ekim 2023’te CharmingCypress, politika uzmanlarını bir web seminerine davet etmek üzere Uluslararası İran Çalışmaları Enstitüsü’nün (IIIS) yetkilileri gibi görünmek için meşru alan adlarına benzer adresler olan bir dizi yazım hatası içeren alan adı kullandı. İlk e-posta, CharmingCypress’in yavaş ve yavaş yaklaşımını sergiliyor, her türlü kötü niyetli bağlantı veya eklentiden kaçınıyor ve hedeflenen profesyoneli WhatsApp ve Signal gibi diğer iletişim kanalları aracılığıyla iletişime geçmeye davet ediyordu.

CharmingCypress tarafından kullanılan hedef odaklı kimlik avı akışı

Adair, saldırıların dünya çapında Orta Doğu politikası uzmanlarını hedef aldığını ve Volexity’nin saldırıların çoğunluğunun Avrupalı ​​ve ABD’li profesyonellere karşı gerçekleştiğini söylüyor.

“Oldukça agresifler” diyor. “Hatta yorum aradıkları ve başka kişilerin de bulunduğu (hedef hariç o e-posta dizisinde belki üç, dört veya beş kişi) tam bir e-posta zinciri veya bir kimlik avı senaryosu bile oluşturacaklar. uyum oluşturmak için.”

Uzun dolandırıcılık sonunda bir yük sağlar. Volexity, tehditle ilişkili beş farklı kötü amaçlı yazılım ailesi tespit etti. PowerLess arka kapısı, kötü amaçlı yazılım yüklü sanal özel ağ (VPN) uygulamasının Windows sürümü tarafından yüklenir; bu uygulama, dosyaların aktarılmasına ve yürütülmesine izin vermek, ayrıca sistemdeki belirli verileri hedeflemek, tuş vuruşlarını günlüğe kaydetmek ve ekran görüntüleri yakalamak için PowerShell’i kullanır. . Kötü amaçlı yazılımın macOS sürümüne NokNok adı verilirken, RAR arşivi ve LNK istismarını kullanan ayrı bir kötü amaçlı yazılım zinciri, Basicstar adlı bir arka kapıya yol açıyor.

Savunmak Daha Zorlaşıyor

Grubun sosyal mühendisliğe yaklaşımı kesinlikle gelişmiş kalıcı tehdidin (APT) “kalıcılık” kısmını bünyesinde barındırıyor. Adair, Volexity’nin “sürekli bir saldırı yağmuru” gördüğünü, dolayısıyla politika uzmanlarının soğuk temaslara karşı daha da şüpheci olmaları gerektiğini söylüyor.

Pek çok politika uzmanının öğrencilerle veya halkla sürekli temas halinde olan akademisyenler olması ve onların temaslarında katı olmaya alışkın olmaması nedeniyle bunu yapmanın zor olacağını söylüyor. Ancak bilinmeyen bir bağlantıyla ulaşılan bir siteye belge açmadan veya kimlik bilgilerini girmeden önce mutlaka düşünmelidirler.

Adair, “Günün sonunda, kişinin bir şeye tıklamasını veya bir şeyi açmasını sağlamak zorundalar; bu da eğer bir makaleyi veya buna benzer bir şeyi incelemenizi istersem, bu da… bağlantılara ve dosyalara karşı çok dikkatli olmanız anlamına gelir” diyor . “Herhangi bir zamanda kimlik bilgilerimi girmem veya bir şeyi yetkilendirmem gerekirse, bu büyük bir tehlike işareti olmalıdır. Benzer şekilde, eğer benden bir şey indirmem istenirse, bu oldukça büyük bir tehlike işareti olmalıdır.”

Ayrıca Volexity, politika uzmanlarının CharmingCypress’in girişimleri başarısız olsa bile onları hedef almaya devam edeceğini anlaması gerektiğini belirtti.

Şirket, tavsiye belgesinde “Bu tehdit aktörü, hedeflerini en iyi şekilde nasıl manipüle edeceğini ve kötü amaçlı yazılım dağıtacağını belirlemek için hedeflerini gözetleme konusunda oldukça kararlı” dedi. “Ek olarak, çok az sayıda diğer tehdit aktörü sürekli olarak CharmingCypress kadar çok sayıda kampanya düzenleyerek insan operatörleri devam eden çabalarını desteklemeye adadı.”





Source link