КСИР пытается повлиять на выборы в США.
Команда Insikt Group Для просмотра ссылки Войдиили Зарегистрируйся значительное увеличение активности группы GreenCharlie, которая направлена на политические и правительственные структуры США. Деятельность группы пересекается с другой иранской группой APT42 и включает сложные фишинговые кампании для доставки бэкдоров GORBLE и POWERSTAR.
С июня 2024 года специалисты Insikt Group отслеживают инфраструктуру, связанную с GreenCharlie. Данная группа использует специально разработанные домены, зарегистрированные у поставщиков динамических DNS (DDNS), для осуществления своих фишинговых атак. Домены зачастую маскируются под легитимные сервисы облачного хранения, обмена файлами и визуализации документов, что позволяет группе получать доступ к конфиденциальной информации и распространять вредоносные файлы.
GreenCharlie ассоциируется с несколькими вредоносными программами, среди которых выделяются POWERSTAR (CharmPower, GorjolEcho) и GORBLE. Программы были разработаны для проведения шпионских операций через кампании целевого фишинга (spear phishing). По данным Mandiant, GORBLE и POWERSTAR представляют собой разные варианты одного семейства вредоносного ПО, используемого для получения несанкционированного доступа к данным и их последующей эксфильтрации.
Инфраструктура GreenCharlie использование динамических DNS позволяет хакерам быстро изменять IP-адреса и мешает отслеживанию деятельности. Также группа активно использует социальную инженерию, опираясь на актуальные события и политическую напряженность для заманивания жертв.
Insikt Group выявила несколько иранских IP-адресов, взаимодействующих с инфраструктурой GreenCharlie. Использование сервисов ProtonVPN и ProtonMail также указывает на попытки скрыть свою деятельность, что является типичной тактикой для иранских хакерских группировок.
Фишинговые атаки GreenCharlie носят целенаправленный характер, их цель — извлечение данных или установка GORBLE и POWERSTAR, которые разворачиваются в несколько этапов. После успешного фишинга бэкдоры устанавливают связь с C2-серверами для извлечения данных или загрузки дополнительных модулей.
Исследователи предполагают, что GreenCharlie проводит фишинговые атаки по заказу Корпуса стражей исламской революции (КСИР). Как отмечают специалисты, среди жертв GreenCharlie — аналитики в области исследований и политики, правительственные чиновники, дипломаты и стратегические цели высокой ценности. Хотя Insikt Group не удалось выявить прямые доказательства атак на официальных лиц правительства США и сотрудников политических кампаний, анализ открытых источников «позволил установить достоверную связь».
Специалисты Insikt Group отмечают, что иранские кибершпионы давно зарекомендовали себя как мастера ведения информационных кампаний, направленных на Для просмотра ссылки Войдиили Зарегистрируйся и влияние на Для просмотра ссылки Войди или Зарегистрируйся Такие операции продолжаются, преследуя цель поддержания или подрыва авторитетов кандидатов на выборах, влияния на поведение избирателей и создания раскола в обществе.
Команда Insikt Group Для просмотра ссылки Войди
С июня 2024 года специалисты Insikt Group отслеживают инфраструктуру, связанную с GreenCharlie. Данная группа использует специально разработанные домены, зарегистрированные у поставщиков динамических DNS (DDNS), для осуществления своих фишинговых атак. Домены зачастую маскируются под легитимные сервисы облачного хранения, обмена файлами и визуализации документов, что позволяет группе получать доступ к конфиденциальной информации и распространять вредоносные файлы.
GreenCharlie ассоциируется с несколькими вредоносными программами, среди которых выделяются POWERSTAR (CharmPower, GorjolEcho) и GORBLE. Программы были разработаны для проведения шпионских операций через кампании целевого фишинга (spear phishing). По данным Mandiant, GORBLE и POWERSTAR представляют собой разные варианты одного семейства вредоносного ПО, используемого для получения несанкционированного доступа к данным и их последующей эксфильтрации.
Инфраструктура GreenCharlie использование динамических DNS позволяет хакерам быстро изменять IP-адреса и мешает отслеживанию деятельности. Также группа активно использует социальную инженерию, опираясь на актуальные события и политическую напряженность для заманивания жертв.
Insikt Group выявила несколько иранских IP-адресов, взаимодействующих с инфраструктурой GreenCharlie. Использование сервисов ProtonVPN и ProtonMail также указывает на попытки скрыть свою деятельность, что является типичной тактикой для иранских хакерских группировок.
Фишинговые атаки GreenCharlie носят целенаправленный характер, их цель — извлечение данных или установка GORBLE и POWERSTAR, которые разворачиваются в несколько этапов. После успешного фишинга бэкдоры устанавливают связь с C2-серверами для извлечения данных или загрузки дополнительных модулей.
Исследователи предполагают, что GreenCharlie проводит фишинговые атаки по заказу Корпуса стражей исламской революции (КСИР). Как отмечают специалисты, среди жертв GreenCharlie — аналитики в области исследований и политики, правительственные чиновники, дипломаты и стратегические цели высокой ценности. Хотя Insikt Group не удалось выявить прямые доказательства атак на официальных лиц правительства США и сотрудников политических кампаний, анализ открытых источников «позволил установить достоверную связь».
Специалисты Insikt Group отмечают, что иранские кибершпионы давно зарекомендовали себя как мастера ведения информационных кампаний, направленных на Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru