Τους τελευταίους μήνες, η συνδεδεμένη με το Ιράν ομάδα κυβερνοκατασκοπείας Charming Kitten εμπλέκεται σε δραστηριότητες με οικονομικά κίνητρα, αναφέρει η Secureworks Counter Threat Unit (CTU).
Αναφέρεται επίσης ως APT35, Magic Hound, NewsBeef, Newscaster, Phosphorus και TA453, ο παράγοντας της προηγμένης επίμονης απειλής (APT) είναι γνωστός για τη στόχευση ακτιβιστών, κυβερνητικών οργανώσεων, δημοσιογράφων και διαφόρων άλλων οντοτήτων.
Τον Νοέμβριο του 2021, μια κοινή συμβουλευτική από κυβερνητικούς φορείς στις ΗΠΑ, το Ηνωμένο Βασίλειο και την Αυστραλία προειδοποίησε για επιθέσεις που χρηματοδοτούνται από το Ιράν που στοχεύουν κρίσιμες υποδομές και άλλους οργανισμούς μέσω της εκμετάλλευσης τρωτών σημείων του Fortinet FortiOS και ενός σφάλματος του Microsoft Exchange ProxyShell.
Σε μια αναφορά τον Δεκέμβριο του 2021, η Microsoft σημείωσε ότι το Charming Kitten έδειχνε μεγάλο ενδιαφέρον για την απόκτηση εκμεταλλεύσεων που στοχεύουν στην ευπάθεια Log4j, για να τα τροποποιήσει και να τα χρησιμοποιήσει σε νέες επιθέσεις. Τον Ιανουάριο του 2022, το APT παρατηρήθηκε χρησιμοποιώντας μια νέα κερκόπορτα PowerShell.
Η Secureworks, η οποία παρακολουθεί την ομάδα κυβερνοκατασκοπείας ως Cobalt Mirage, ανέφερε σήμερα ότι η ομάδα φαίνεται να έχει στραφεί σε επιθέσεις με οικονομικά κίνητρα, συμπεριλαμβανομένης της ανάπτυξης ransomware.
Οι ερευνητές σημειώνουν ότι, τον Ιανουάριο του 2022, ο παράγοντας της απειλής χρησιμοποίησε πρόσβαση που είχε αποκτήσει προηγουμένως για να διεισδύσει στο δίκτυο μιας φιλανθρωπικής οργάνωσης στις ΗΠΑ, όπου ανέπτυξαν ένα κέλυφος ιστού που αργότερα χρησιμοποιήθηκε για την απόρριψη πρόσθετων αρχείων.
Με το όνομα Dllhost.exe, ένα από αυτά τα αρχεία είναι ένα Go binary που φαίνεται να βασίζεται εν μέρει στον κώδικα Fast Reverse Proxy (FRP) που είναι διαθέσιμος στο GitHub. Όταν εκτελείται σε έναν παραβιασμένο διακομιστή Exchange, το dllhost.exe συλλέγει πληροφορίες συστήματος και δημιουργεί μια σήραγγα επικοινωνίας με τον διακομιστή εντολών και ελέγχου (C&C).
Στη συνέχεια, οι επιτιθέμενοι διεξήγαγαν μια υπηρεσία διακομιστών τοπικής αρχής ασφαλείας (LSASS) για να αναζητήσουν διαπιστευτήρια χρήστη. Τρεις ημέρες αργότερα, χρησιμοποίησαν το πρωτόκολλο απομακρυσμένης επιφάνειας εργασίας (RDP) για να συνδεθούν στον διακομιστή Exchange, πιθανότατα μια λειτουργία hands-on-keyboard.
Μετά την απαρίθμηση του περιβάλλοντος, ο παράγοντας απειλής μετακινήθηκε πλευρικά και στη συνέχεια «κρυπτογράφηση τριών σταθμών εργασίας χρηστών με το BitLocker, καθιστώντας τους απρόσιτους για το προσωπικό του παραβιασμένου οργανισμού», λέει η Secureworks.
Στη συνέχεια, οι εισβολείς έστειλαν ένα σημείωμα λύτρων σε έναν τοπικό εκτυπωτή, δίνοντας εντολή στο θύμα να επικοινωνήσει μέσω email ή Telegram για να λάβει πληροφορίες σχετικά με την αποκρυπτογράφηση και την ανάκτηση.
«Αυτή η προσέγγιση προτείνει μια μικρή λειτουργία που βασίζεται σε μη αυτόματες διαδικασίες για τη χαρτογράφηση των θυμάτων στα κλειδιά κρυπτογράφησης που χρησιμοποιούνται για το κλείδωμα των δεδομένων τους. Από αυτή τη δημοσίευση, οι ερευνητές της CTU δεν γνωρίζουν για τοποθεσία διαρροής Cobalt Mirage. Η θυματολογία των επιθέσεων Cobalt Mirage υποδηλώνει ότι αυτοί οι παράγοντες απειλών επικεντρώνονται στο οικονομικό κέρδος». Λέει η Secureworks.
Τον Μάρτιο του 2022, ο ίδιος παράγοντας απειλής παρατηρήθηκε να θέτει σε κίνδυνο το δίκτυο μιας τοπικής κυβέρνησης των ΗΠΑ, αλλά δεν αναπτύχθηκε κανένα ransomware. Αντίθετα, η ομάδα επικεντρώθηκε στη συλλογή δεδομένων και στην εξαγωγή τους χρησιμοποιώντας δωρεάν διαδικτυακές υπηρεσίες.
«Μετά τον εντοπισμό και τη διακοπή της εισβολής του Μαρτίου 2022, δεν παρατηρήθηκε επιπλέον κακόβουλη δραστηριότητα. Οι ερευνητές της CTU δεν έχουν παρατηρήσει άμεσα επιθέσεις ransomware που συνδέονται με [τη δραστηριότητα], αλλά υπάρχουν ενδείξεις ότι αυτοί οι φορείς απειλών μπορεί να πειραματίζονται με ransomware», σημειώνει η Secureworks.
Οι ερευνητές ασφαλείας εκτιμούν ότι, ενώ η ομάδα έχει καταφέρει να θέσει σε κίνδυνο έναν μεγάλο αριθμό στόχων παγκοσμίως, «η ικανότητά τους να κεφαλαιοποιούν αυτή την πρόσβαση για οικονομικό κέρδος ή συλλογή πληροφοριών φαίνεται περιορισμένη». Ωστόσο, η χρήση διαθέσιμων στο κοινό εργαλείων για λειτουργίες ransomware δείχνει ότι η ομάδα παραμένει μια διαρκής απειλή, καταλήγει η Secureworks.
