Ünnepi üdvözlet Iránból
Az karácsonyi, újévi ünnepi időszakban jelentős kampányt indított az iráni, állami támogatású Charming Kitten csoport, amelyet APT35 azonosítással is jelölni szoktak. A csoport célpontjai általában az ország érdekeit befolyásolni képes személyek, többnyire a tudományos kutatók, emberi jogok és média területén dolgozók. Az új kampányában a Charming Kitten csoport politikai kutatókat, egyetemi tanárokat, újságírókat és környezetvédelmi aktivistákat vett célba a Perzsa-öböl körüli országokban, Európában és az Egyesült Államokban. Az eszközük SMS és email útján küldött spear-phishing link volt.
A kampány időszakát jól választotta ki a csoport, hiszen ebben az időszakban a legtöbb nagyvállalt csökkentett üzemmódban működteti az ügyfélszolgálati rendszerét, a technikai támogató csoportokat, az informatikai biztonsági szakembereit. Így ebben az időszakban lassabb a reagálási idő, a szakértők nem minden gyanús esetet vizsgálnak ki, vagy csak lassabban érnek el a prioritási listán az esetekhez.
A támadások során a megcélzott egyének személyes fiókjait vették célba, sikeres támadás esetén a csoport általános ismérvei szerint ellopták a rajtuk tárolt bizalmas információkat.
A összetett kampány során az áldozatok e-mailben és SMS-ben is kaptak spear-phishing üzeneteket a támadóktól. Az SMS-ek a Google biztonsági riasztását személyesítették meg, az e-mailek korábban feltört fiókokat használtak fel, és az ünnepekhez kapcsolódó csalikkal próbálták elérni, hogy a linkre kattintson az célpontban lévő személy. Mindkét módszer során a felhasznált link a Google URL mögötti webhelyekre irányította felhasználókat, ahonnan többszöri átirányítás után kerültek a az adathalász oldalra, ahol többnyire Gmail, Yahoo, Outlookhoz bejelentkezési adatokat gyűjtöttek. Ez volt az első alkalom, hogy a Charming Kitten csoport sikeresen használta a Google linkeket adathalász kampánya során.
További információk a csoportról:
https://attack.mitre.org/groups/G0058/
https://malpedia.caad.fkie.fraunhofer.de/actor/charming_kitten