威胁情报信息分享|Charming Kitten针对伊朗异见人士发动高级网络攻击

德国的联邦宪法保护办公室(BfV)警告说，自2022年底以来，针对该国的伊朗人和组织的网络攻击已经出现。

该机构在一份建议书中表示：“这些网络攻击主要针对异议组织和个人，例如律师、记者或人权活动家，无论是在伊朗内部还是外部。”

这些入侵被归因于一个名为“Charming Kitten”（翻译为美丽小猫）的威胁行为者，该行为者还以APT35、Mint Sandstorm、TA453和Yellow Garuda等名字被追踪。

尽管伊朗的国家级行为者在精细度上落后于其俄罗斯的同行，但他们展示了工具和技术的持续进步，增加了自定义恶意软件的武器库，以便于信息收集，并迅速利用n-day安全漏洞获得初始访问权限。

特别是“Charming Kitten”长期以来一直利用精心设计的社交工程学和虚构的在线身份，这些身份是为针对受害者而量身定做的。它还冒充真正的记者和非政府组织雇员，以建立关系并增加攻击成功的可能性。

一旦成功建立联系，这个黑客团队就会发送一个链接到在线视频聊天。当被点击时，会敦促受害者在一个钓鱼页面上输入他们的登录信息，从而有效地导致凭证盗窃。钓鱼网站模仿像Google或Microsoft这样的合法在线服务提供商。

BfV表示：“如果发生在线视频聊天，它将用于掩盖攻击。在从C2服务器登录受害者的用户帐户后，攻击者能够下载整个用户数据，例如通过Google Takeout。”

值得注意的是，2022年8月，Google威胁分析组(TAG)详细描述了一个名为HYPERSCRAPE的恶意软件，这个恶意软件被威胁行为者用来从Gmail、Yahoo!和Microsoft Outlook帐户检索用户数据。

这些攻击也反映了Certfa Lab和人权观察(HRW)此前的发现，它们披露了一个针对人权活动家、记者、研究员、学者、外交官和政治家的凭证钓鱼活动，这些人在同一时期在中东工作。

此次发展是在Sophos揭示了一个针对四家伊朗银行的移动恶意软件活动之后，这四家银行是Bank Mellat、Bank Saderat、Resalat Bank和伊朗中央银行，有多达40个假冒的Android应用旨在窃取敏感信息。

安全研究员Pankaj Kohli在上个月晚些时候发布的一份报告中表示：“所有这些应用，在2022年12月至2023年5月之间可供下载，收集互联网银行登录凭证和信用卡详情，并具有其他几种能力。”

这包括“隐藏它们的图标以维持隐秘性和拦截进入的SMS消息，一些银行将其用作多因素身份验证方案的一部分。” 还有一个功能是在被感染的设备上搜索与银行、支付或加密货币相关的其他几个应用。