Charming Kitten, noto anche come TA453, APT42, Mint Sandstorm e Yellow Garuda, un gruppo di hacker sponsorizzato dallo stato iraniano, ha recentemente impiegato una nuova catena di infezione per prendere di mira un esperto di sicurezza nucleare presso un think tank statunitense. Questo gruppo ha precedentemente preso di mira account di alto valore nel governo, nell’accademia, nelle ONG, nella sicurezza nazionale e nel giornalismo.
Nuova operazione del gruppo legato all’IRGC
Nell’ambito della loro recente operazione, il gruppo legato all’IRGC ha utilizzato un’email benigna per iniziare una relazione con il loro obiettivo. Successivamente, hanno inviato un’email di follow-up contenente un macro malevolo che indirizzava l’obiettivo a un URL di Dropbox.
Differenze rispetto alle tipiche catene di infezione
“L’uso di un file .rar e LNK per distribuire malware differisce dalla tipica catena di infezione di TA453 che utilizza macro VBA o iniezione di template remoto. L’LNK incluso nel RAR ha utilizzato PowerShell per scaricare ulteriori fasi da un provider di hosting cloud”, afferma una nuova analisi di Proofpoint.
Uso di Google Scripts, Dropbox e CleverApps
“L’uso di Google Scripts, Dropbox e CleverApps dimostra che TA453 continua a sottoscrivere un approccio multi-cloud nei suoi sforzi per minimizzare le interruzioni da parte dei cacciatori di minacce. (…) Indipendentemente dal metodo di infezione, TA453 continua a distribuire backdoor modulari nel tentativo di raccogliere informazioni da individui altamente mirati”, ha detto Proofpoint.
Avvertimento di Microsoft
In aprile, Microsoft ha avvertito che gli hacker legati all’Iran stanno prendendo di mira infrastrutture critiche statunitensi, tra cui trasporti, energia e porti. Un rapporto di Microsoft Threat Intelligence ha rivelato la minaccia proveniente dagli hacker iraniani, noti come “Mint Sandstorm”.
Attacchi a infrastrutture critiche statunitensi
Inizialmente impegnato nel ricognizione, il sottogruppo ha iniziato ad attaccare organizzazioni di infrastrutture critiche negli Stati Uniti nel 2022. Nel novembre 2021, il Dipartimento di Giustizia degli Stati Uniti ha incriminato due iraniani, Mohammad Hosein Musa Kazemi e Sajjad Kashian, che erano impiegati da Emennet Pasargad. Durante le elezioni presidenziali del 2020, avrebbero condotto una campagna cyber “per intimidire e influenzare gli elettori americani”.