Một nhóm gián điệp mạng của Iran nổi tiếng với việc nhắm mục tiêu vào các lĩnh vực chính phủ, công nghệ quốc phòng, quân sự và ngoại giao hiện đang mạo danh các nhà báo để tiếp cận các mục tiêu thông qua LinkedIn và WhatsApp và lây nhiễm phần mềm độc hại vào thiết bị của họ.
Chi tiết chiến thuật mới của nhóm APT “Charming Kitten”, công ty Clearsky của Israel cho biết, “bắt đầu từ tháng 7 năm 2020, chúng tôi đã xác định một TTP mới của nhóm, mạo danh ‘Deutsche Welle’ và ‘Tạp chí Do Thái’ bằng cách sử dụng email cùng với tin nhắn WhatsApp làm nền tảng chính của họ để tiếp cận mục tiêu và thuyết phục họ mở một liên kết độc hại. “
Đây là lần đầu tiên kẻ đe dọa được cho là đã thực hiện một cuộc tấn công lỗ thủng thông qua WhatsApp và LinkedIn, bao gồm cả việc gọi điện thoại cho nạn nhân, Clearsky lưu ý trong một phân tích hôm thứ Năm.
Sau khi công ty cảnh báo Deutsche Welle về việc mạo danh và lỗ hổng trên trang web của họ, đài truyền hình Đức xác nhận, “phóng viên mà Charming Kitten đóng giả đã không gửi bất kỳ email nào cho nạn nhân cũng như bất kỳ nhà nghiên cứu học thuật nào khác ở Israel trong vài tuần qua. “
Mèo con quyến rũ (còn được gọi với các bí danh APT35, Parastoo, NewsBeef và Newscaster) trước đây đã được liên kết với một loạt chiến dịch bí mật ít nhất kể từ tháng 12 năm 2017 với mục đích đánh cắp thông tin nhạy cảm từ các nhà hoạt động nhân quyền, nhà nghiên cứu học thuật và các phương tiện truyền thông.
Lỗ tưới – trong trường hợp này là một liên kết độc hại được nhúng trong miền Deutsche Welle bị xâm phạm – đã gửi phần mềm độc hại đánh cắp thông tin qua WhatsApp, nhưng không phải trước khi các nạn nhân được tiếp cận lần đầu tiên thông qua các phương pháp kỹ thuật xã hội đã được thử nghiệm và thử nghiệm với ý định thu hút các học giả để nói chuyện tại hội thảo trên web trực tuyến.
Clearsky giải thích: “Thư từ bắt đầu bằng một email được gửi đến mục tiêu, bắt đầu một cuộc trò chuyện. “Sau một cuộc trò chuyện ngắn với mục tiêu, kẻ tấn công Charming Kitten yêu cầu chuyển cuộc trò chuyện sang WhatsApp. Nếu mục tiêu từ chối chuyển sang WhatsApp, kẻ tấn công sẽ gửi tin nhắn qua hồ sơ LinkedIn giả mạo.”
Trong một tình huống, kẻ thù thậm chí còn thực hiện bước nhắn tin và gọi điện cho nạn nhân để chiếm được lòng tin của mục tiêu và sau đó hướng dẫn người đó thực hiện các bước kết nối với hội thảo trên web bằng liên kết độc hại được chia sẻ trước đó trong cuộc trò chuyện.
Mặc dù APT35 có thể đã tìm ra một mưu mẹo mới, nhưng đây không phải là lần đầu tiên tin tặc Iran sử dụng các kênh truyền thông xã hội để do thám những nhân viên được quan tâm.
Trong ba năm dài “Phát thanh viên Chiến dịch“được phát hiện bởi iSIGHT Partners (hiện thuộc sở hữu của FireEye) vào năm 2014, kẻ đe dọa bị phát hiện đã tạo tài khoản Facebook giả và trang web tin tức giả để theo dõi các nhà lãnh đạo quân sự và chính trị ở Hoa Kỳ, Israel và các quốc gia khác.
“Trong chiến dịch này, chúng tôi quan sát thấy những kẻ tấn công sẵn sàng nói chuyện điện thoại trực tiếp với nạn nhân, sử dụng các cuộc gọi WhatsApp và số điện thoại hợp pháp của Đức. TTP này không phổ biến và gây nguy hiểm cho danh tính giả của những kẻ tấn công”, các nhà nghiên cứu Clearsky cho biết .
