Hackers iranianos criam nova rede para atacar campanhas políticas dos EUA
Pesquisadores de segurança cibernética descobriram uma nova infraestrutura de rede criada por agentes de ameaças iranianos para dar suporte a atividades relacionadas ao recente ataque a campanhas políticas dos EUA.
O Insikt Group da Recorded Future vinculou a infraestrutura a uma ameaça que ele rastreia como GreenCharlie, um grupo de ameaças cibernéticas com ligação ao Irã que se sobrepõe ao APT42, Charming Kitten, Damselfly, Mint Sandstorm (anteriormente Phosphorus), TA453 e Yellow Garuda.
“A infraestrutura do grupo é meticulosamente elaborada, utilizando provedores de DNS dinâmico (DDNS) como Dynu, DNSEXIT e Vitalwerks para registrar domínios usados em ataques de phishing”, disse a empresa de segurança cibernética .
“Esses domínios geralmente empregam temas enganosos relacionados a serviços de nuvem, compartilhamento de arquivos e visualização de documentos para induzir os alvos a revelar informações confidenciais ou baixar arquivos maliciosos.”
Exemplos incluem termos como “cloud”, “uptimezone”, “doceditor”, “joincloud” e “pageviewer”, entre outros. A maioria dos domínios foi registrada usando o domínio de nível superior (TLD) .info, uma mudança dos TLDs observados anteriormente .xyz, .icu, .network, .online e .site.
O adversário tem um histórico de encenar ataques de phishing altamente direcionados que aproveitam técnicas extensivas de engenharia social para infectar usuários com malware como POWERSTAR (também conhecido como CharmPower e GorjolEcho) e GORBLE , que foi recentemente identificado pela Mandiant, de propriedade do Google, como usado em campanhas contra Israel e os EUA.
GORBLE, TAMECAT e POWERSTAR são avaliados como variantes do mesmo malware, uma série de implantes PowerShell em constante evolução implantados pela GreenCharlie ao longo dos anos. Vale a pena notar que a Proofpoint detalhou outro sucessor do POWERSTAR, apelidado de BlackSmith, que foi usado em uma campanha de spear-phishing visando uma figura judaica proeminente no final de julho de 2024.
O processo de infecção geralmente é multiestágio, envolvendo a obtenção de acesso inicial por meio de phishing, seguido pelo estabelecimento de comunicação com servidores de comando e controle (C2) e, por fim, a exfiltração de dados ou a entrega de cargas úteis adicionais.
As descobertas da Recorded Future mostram que o agente da ameaça registrou um grande número de domínios DDNS desde maio de 2024, com a empresa também identificando comunicações entre endereços IP baseados no Irã (38.180.146[.]194 e 38.180.146[.]174) e a infraestrutura GreenCharlie entre julho e agosto de 2024.
Além disso, um link direto foi descoberto entre os clusters GreenCharlie e os servidores C2 usados pelo GORBLE. Acredita-se que as operações são facilitadas por meio do Proton VPN ou Proton Mail para ofuscar suas atividades.
“As operações de phishing da GreenCharlie são altamente direcionadas, muitas vezes empregando técnicas de engenharia social que exploram eventos atuais e tensões políticas”, disse a Recorded Future.
“O grupo registrou vários domínios desde maio de 2024, muitos dos quais provavelmente são usados para atividades de phishing. Esses domínios estão vinculados a provedores de DDNS, que permitem mudanças rápidas em endereços IP, dificultando o rastreamento das atividades do grupo.”
A divulgação ocorre em meio a um aumento da atividade cibernética maliciosa iraniana contra os EUA e outros alvos estrangeiros. No início desta semana, a Microsoft revelou que vários setores nos EUA e nos Emirados Árabes Unidos são alvos de um ator de ameaça iraniano de codinome Peach Sandstorm (também conhecido como Refined Kitten).
Além disso, agências do governo dos EUA disseram que outra equipe de hackers apoiada pelo estado iraniano, a Pioneer Kitten, trabalhou como corretora de acesso inicial (IAB) para facilitar ataques de ransomware contra os setores de educação, finanças, saúde, defesa e governo nos EUA, em colaboração com as equipes NoEscape, RansomHouse e BlackCat.
Fonte: thehackernews.com