L’ufficio federale tedesco per la protezione della Costituzione (BfV) ha segnalato attacchi cibernetici mirati a individui e organizzazioni iraniane in Germania dal fine del 2022.
Principali obiettivi degli attacchi
Gli attacchi cibernetici sono stati principalmente diretti contro organizzazioni e individui dissidenti, come avvocati, giornalisti e attivisti per i diritti umani, sia all’interno che all’esterno dell’Iran.
L’attore della minaccia: Charming Kitten
Le intrusioni sono state attribuite a un attore della minaccia noto come Charming Kitten, che viene anche monitorato con i nomi APT35, Mint Sandstorm, TA453 e Yellow Garuda. Nonostante gli attori statali iraniani siano meno sofisticati rispetto ai loro omologhi russi e cinesi, hanno dimostrato un avanzamento continuo degli strumenti e delle tecniche.
Tecniche di attacco di Charming Kitten
Charming Kitten ha una lunga storia di utilizzo di ingegneria sociale elaborata e identità online fittizie create su misura per prendere di mira le vittime. Impersona veri giornalisti e dipendenti di ONG per costruire un rapporto e aumentare la probabilità di successo degli attacchi.
Metodo di intrusione
Una volta stabilito un contatto di successo, è stato osservato che il gruppo invia link a una videochat online che, quando vengono cliccati, esortano le vittime a inserire le loro informazioni di accesso su una pagina di phishing, risultando in un furto di credenziali.
Dettagli tecnici dell’attacco
Se si verifica una videochat online, serve a nascondere l’attacco. Dopo aver effettuato l’accesso all’account dell’utente da un server C2, l’attaccante è in grado di scaricare tutti i dati dell’utente, ad esempio tramite Google Takeout.
Altri dettagli sugli attacchi
Google Threat Analysis Group (TAG) ha dettagliato un malware chiamato HYPERSCRAPE utilizzato dall’attore della minaccia per recuperare i dati degli utenti da account Gmail, Yahoo! e Microsoft Outlook.
Campagne correlate
Gli attacchi riflettono precedenti scoperte di Certfa Lab e Human Rights Watch (HRW), che hanno rivelato una campagna di phishing mirata a attivisti per i diritti umani, giornalisti e altri professionisti nel Medio Oriente.
Altre minacce in Iran
Sophos ha rivelato una campagna di malware mobile che prende di mira i clienti di quattro banche iraniane con fino a 40 false app Android progettate per rubare informazioni sensibili.