В 2022 году несколько поставщиков услуг ИТ-безопасности сообщили об APT-группе Charming Kitten, которая, по некоторым данным, занимается атаками на иранских оппонентов и иранцев в изгнании. В основном кибератаки были направлены против диссидентских организаций и отдельных лиц, таких как адвокаты, журналисты или правозащитники, как внутри Ирана, так и за его пределами.
Согласно текущей информации Федерального ведомства по защите конституции (BfV), можно предположить, что группа Charming Kitten предпринимает конкретные попытки шпионажа за иракскими лицами и организациями в Германии. Для этого группа использует сложную социальную инженерию4 и разрабатывает сетевые идентификаторы, адаптированные к жертвам.
APT-группа Charming Kitten пытается получить конфиденциальные данные своих жертв с помощью spear phishing.
Цель - получить доступ к онлайн-сервисам, таким как учетные записи электронной почты, облачные хранилища или мессенджеры, которыми пользуется потенциальная жертва.
На первом этапе злоумышленник изучает предпочтения и интересы, в том числе и политического характера. Публикации в Интернете или на платформах социальных сетей служат простым способом получения информации о человеке.
На втором этапе устанавливается личный контакт, в ходе которого жертвой манипулируют с помощью социальной инженерии и ложными обещаниями склоняют ее к критическому для безопасности поведению.
После установления контакта злоумышленник на третьем этапе отправляет приглашение в онлайн-видеочат.
Для участия в видеочате жертва должна перейти по ссылке, присланной злоумышленником. При входе в систему, жертвы вводят свои регистрационные данные и предоставляют злоумышленнику доступ к используемым ими онлайн доступ к используемым ими онлайн-сервисам.
С помощью социальной инженерии Charming Kitten способен устанавливать безобидные на первый взгляд контакты, ориентируясь на людей, знакомых жертвам, или затрагивая темы, которые кажутся жертвам интересными. В арсенале группы также имеется подделка электронной почты. Например, Charming Kitten делает вид, что жертвы общаются с реальными людьми, некоторые из которых известны широкой публике, например, журналисты или сотрудники неправительственных организаций.
Indicators of Compromise
Domains
- beape.live
- beasze.live
- beeasaze.top
- bnt2.live
- check-control-panel.live
- check-reload-page.live
- cover-home-page.xyz
- cover-home-panel.xyz
- direct-view-check.live
- direct-view-panel.xyz
- ksview.top
- load-panel.online
- node-dashboard.site
- node-panel.site
- panel-review-check.live
- stellar-stable-faith.top
- view-direct-panel.live
- view-direct-panel.xyz
- view-home-panel.xyz