Charming Kitten组织使用了一种名为BellaCiao的新型恶意软件,已出现来自美国、欧洲、中东(土耳其)和印度的受害者。BellaCiao充当个性化的投放程序,用于将其他恶意有效负载传送到受害者的机器上。专家们尚未确定最初的感染媒介,但认为攻击者使用了Microsoft Exchange漏洞利用链(如 ProxyShell、ProxyNotShell、OWASSRF)或类似的软件漏洞。部署后,BellaCiao 会立即尝试使用 PowerShell 命令禁用 Microsoft Defender。该恶意软件通过一个新的 服务实例实现持久化,专家还观察到攻击者试图从 http://188.165.174[.]199:18080 下载两个 IIS 后门。混合攻击的示例流程如下:
APT35组织与针对以色列的新一波网络钓鱼攻击有关,该攻击旨在部署名为PowerLess的后门的更新版本。攻击链始于一个 ISO 磁盘映像文件,该文件利用以伊拉克为主题的诱饵来释放一个自定义的内存下载程序,最终启动 PowerLess 植入程序。
名为“Mint Sandstorm(PHOSPHORUS)”的伊朗黑客组织正在对美国的关键基础设施进行网络攻击。2021年末到2022年中,Mint Sandstorm 的一个子组从侦察转向直接攻击美国的关键基础设施,包括海港、能源公司、运输系统、公用事业和天然气组织等。该组织通常使用公开披露的PoC,也会使用旧漏洞(例如Log4Shell)来攻击未打补丁的设备。以下是两种可能的攻击链:攻击链1 :Mint Sandstorm 小组继续使用 Impacket 在受感染的组织中横向移动,并广泛依赖 PowerShell 脚本(而不是自定义植入程序)来枚举管理员帐户并启用 RDP 连接。在此攻击链中,子组使用 SSH 隧道进行命令和控制 (C2),最终窃取 Active Directory 数据库,使用 Active Directory 数据库访问用户帐户的凭据。
2023年2月24日,多个参与中东政治事务研究的人在推特上表示,推特账户@SaShokouhi自称是大西洋理事会的雇员与其联络。分析表明,此次活动是Charming Kitten组织发起的网络钓鱼活动,目标是记录伊朗妇女和少数群体受压情况的研究人员。攻击者创建了一个虚假的账户,然后用它来联系目标,请求采访、协助报告或讨论共同兴趣。在几天或几周的时间里与目标建立了融洽的关系,然后会发送一个恶意链接或文档来钓鱼,试图访问受害者在线电子邮件服务、社交媒体服务的凭据。
总部位于俄罗斯的 SEABORGIUM (Callisto Group/TA446/COLDRIVER/TAG-53) 和总部位于伊朗的 TA453 (APT42/Charming Kitten/Yellow Garuda/ITG18) 继续成功地对英国的目标组织和个人进行鱼叉式网络钓鱼攻击和其他感兴趣的领域,用于信息收集活动。2022年,攻击者目标行业包括学术界、国防、政府组织、非政府组织、智库以及政治家、记者和活动家。
APT35又名Charming Kitten或Phosphorus,是来自伊朗的APT组织。近期,APT35组织在攻击活动中部署了一个名为PowerLess Backdoor的新PowerShell后门,该后门在.NET上下文中运行,而不是生成PowerShell进程。PowerLess Backdoor具有多种功能,包括下载和执行其他恶意软件和文件(键盘记录模块和浏览器信息窃取程序)、键盘记录、终止进程、窃取浏览器数据、执行任意命令等。此外,研究人员观察到Charming Kitten使用一种名为Hyperscrape的新工具从受害者邮箱中提取电子邮件。该工具允许攻击者从Yahoo、Google和Microsoft Outlook中提取电子邮件。
TA453是一个伊朗威胁组织,曾攻击中东的学者和政策专家。2022年6月,TA453组织使用一种新的、精心设计的网络钓鱼技术,通过使用多个角色和电子邮件帐户,诱导目标认为这是一个真实的电子邮件对话。研究人员将这种社会工程技术称为“多角色模拟”(MPI)。攻击者向目标发送一封电子邮件,同时抄送由攻击者控制的另一个电子邮件地址,然后从该电子邮件中回复,进行虚假对话。此次活动的目标包括从事中东研究或核安全的研究人员。电子邮件活动的时间表如下:
6月14日,研究人员揭露了最近在伊朗开展的针对前以色列官员、高级军事人员、研究机构研究员、智囊团和以色列公民的鱼叉式网络钓鱼行动。攻击者使用了一个虚假的缩短网址 Litby[.]us来伪装网络钓鱼链接,并利用合法的身份验证服务validation.com来盗取身份证件。研究人员将此次网络钓鱼活动与伊朗 APT 组织Phosphorus(又名APT35、Charming Kitten)联系起来。
和伊朗有关的网络攻击者 APT35组织(又名Rocket Kitten)正在积极利用VMware的关键远程代码执行 (RCE) 漏洞CVE-2022-22954。攻击者利用此漏洞获得初始访问权限,最终在易受攻击的系统上部署Core Impact高级渗透测试工具。
2021 年 12 月,研究人员观察到攻击者利用Microsoft Exchange ProxyShell 漏洞通过多个 Web Shell 获取初始访问权限并执行代码,经分析,研究人员将此活动归因于APT35组织(又名Charming Kitten、TA453、COBALT ILLUSION、ITG18、Phosphorus、Newscaster)。攻击者利用的漏洞包括:CVE-2021-34473;CVE-2021-34523;CVE-2021-31207。