Cybersecurity-Forscher haben eine neue Netzwerk-Infrastruktur aufgedeckt, die von iranischen Bedrohungsakteuren eingerichtet wurde, um Aktivitäten zu unterstützen, die mit der jüngsten gezielten Angriffe auf US-Wahlkampagnen zusammenhängen.
Die Insikt Group von Recorded Future hat die Infrastruktur mit einer Bedrohung in Verbindung gebracht, die sie als GreenCharlie verfolgt, eine mit dem Iran in Verbindung stehende Cyber-Bedrohungs-Gruppe, die sich mit APT42, Charming Kitten, Damselfly, Mint Sandstorm (ehemals Phosphorus), TA453 und Yellow Garuda überschneidet.
„Die Infrastruktur der Gruppe ist sorgfältig ausgeklügelt und nutzt dynamische DNS (DDNS)-Anbieter wie Dynu, DNSEXIT und Vitalwerks, um Domains zu registrieren, die in Phishing-Angriffen eingesetzt werden“, sagte das Cybersecurity-Unternehmen.
„Diese Domains verwenden oft trügerische Themen im Zusammenhang mit Cloud-Diensten, Dateifreigabe und Dokumentenvisualisierung, um Ziele dazu zu verleiten, sensible Informationen preiszugeben oder schädliche Dateien herunterzuladen.“
Beispiele hierfür sind Begriffe wie „cloud“, „uptimezone“, „doceditor“, „joincloud“ und „pageviewer“ unter anderem. Ein Großteil der Domains wurde mit der Top-Level-Domain (TLD) .info registriert, eine Verschiebung von den zuvor beobachteten TLDs .xyz, .icu, .network, .online und .site.
Der Gegner hat eine nachgewiesene Erfolgsbilanz bei der Durchführung hochspezifischer Phishing-Angriffe, bei denen umfangreiche Social-Engineering-Techniken eingesetzt werden, um Benutzer mit Malware wie POWERSTAR (auch bekannt als CharmPower und GorjolEcho) und GORBLE zu infizieren, die kürzlich von Google-eigener Mandiant als in Kampagnen gegen Israel und die USA eingesetzt wurden, identifiziert wurden.
GORBLE, TAMECAT und POWERSTAR werden als Varianten derselben Malware eingestuft, einer Reihe von sich ständig weiterentwickelnden PowerShell-Implants, die von GreenCharlie im Laufe der Jahre eingesetzt werden. Es ist erwähnenswert, dass Proofpoint einen weiteren POWERSTAR-Nachfolger namens BlackSmith detaillierte, der Ende Juli 2024 in einer Spear-Phishing-Kampagne gegen eine prominente jüdische Persönlichkeit eingesetzt wurde.
Der Infektionsprozess ist oft mehrstufig und beinhaltet den Erwerb des ersten Zugriffs durch Phishing, gefolgt von der Einrichtung der Kommunikation mit Command-and-Control (C2)-Servern und schließlich der Exfiltration von Daten oder der Bereitstellung zusätzlicher Nutzlasten.
Die Ergebnisse von Recorded Future zeigen, dass der Bedrohungsakteur seit Mai 2024 eine große Anzahl von DDNS-Domains registriert hat, wobei das Unternehmen auch die Kommunikation zwischen in Iran ansässigen IP-Adressen (38.180.146[.]194 und 38.180.146[.]174) und der GreenCharlie-Infrastruktur zwischen Juli und August 2024 identifiziert hat.
Darüber hinaus wurde eine direkte Verbindung zwischen GreenCharlie-Clustern und C2-Servern aufgedeckt, die von GORBLE verwendet werden. Es wird vermutet, dass die Operationen durch Proton VPN oder Proton Mail erleichtert werden, um ihre Aktivitäten zu verschleiern.
„Die Phishing-Operationen von GreenCharlie sind hochspezifisch und setzen oft Social-Engineering-Techniken ein, die aktuelle Ereignisse und politische Spannungen ausnutzen“, sagte Recorded Future.
„Die Gruppe hat seit Mai 2024 zahlreiche Domains registriert, von denen viele wahrscheinlich für Phishing-Aktivitäten verwendet werden. Diese Domains sind mit DDNS-Anbietern verbunden, die schnelle Änderungen von IP-Adressen ermöglichen, wodurch es schwierig wird, die Aktivitäten der Gruppe zu verfolgen.“
Die Offenlegung erfolgt vor dem Hintergrund einer Zunahme bösartiger Cyberaktivitäten des Iran gegen die USA und andere ausländische Ziele. Anfang dieser Woche gab Microsoft bekannt, dass mehrere Sektoren in den USA und den Vereinigten Arabischen Emiraten das Ziel eines iranischen Bedrohungsaktors mit dem Codenamen Peach Sandstorm (auch bekannt als Refined Kitten) sind.
Darüber hinaus teilten US-Regierungsbehörden mit, dass eine weitere staatlich unterstützte iranische Hackergruppe, Pioneer Kitten, als Initial Access Broker (IAB) für die Erleichterung von Ransomware-Angriffen gegen Bildung, Finanzen, Gesundheitswesen, Verteidigung und den Regierungssektor in den USA in Zusammenarbeit mit NoEscape, RansomHouse und BlackCat-Crews gearbeitet hat.