Iraanse hackers richten nieuw netwerk op om Amerikaanse politieke campagnes aan te vallen

Cybersecurityonderzoekers hebben een nieuwe netwerkinfrastructuur ontdekt die door Iraanse cybercriminelen is opgezet ter ondersteuning van activiteiten die verband houden met de recente aanvallen op Amerikaanse politieke campagnes.

De Insikt Group van Recorded Future heeft de infrastructuur in verband gebracht met een bedreiging die zij in de gaten houden als GreenCharlie, een cyberdreigingsgroep met een link naar Iran die overlapt met APT42, Charming Kitten, Damselfly, Mint Sandstorm (voorheen Phosphorus), TA453 en Yellow Garuda.

“De infrastructuur van de groep is zorgvuldig ontworpen en maakt gebruik van dynamische DNS (DDNS)-providers zoals Dynu, DNSEXIT en Vitalwerks om domeinen te registreren die worden gebruikt bij phishingaanvallen”, aldus het cybersecuritybedrijf.

“Deze domeinen maken vaak gebruik van misleidende thema’s die verband houden met clouddiensten, het delen van bestanden en het visualiseren van documenten om doelwitten ertoe te verleiden gevoelige informatie te onthullen of schadelijke bestanden te downloaden.”

Voorbeelden hiervan zijn termen als “cloud”, “uptimezone”, “doceditor”, “joincloud” en “pageviewer”, naast andere. Een meerderheid van de domeinen werd geregistreerd met behulp van het .info top-level domein (TLD), een verschuiving van de eerder waargenomen .xyz, .icu, .network, .online en .site TLD’s.

De tegenstander heeft een staat van dienst in het organiseren van zeer gerichte phishingaanvallen die gebruikmaken van uitgebreide social engineeringtechnieken om gebruikers te infecteren met malware zoals POWERSTAR (ook bekend als CharmPower en GorjolEcho) en GORBLE, dat onlangs door Mandiant, eigendom van Google, werd geïdentificeerd als gebruikt in campagnes tegen Israël en de VS.

GORBLE, TAMECAT en POWERSTAR worden beoordeeld als varianten van dezelfde malware, een reeks voortdurend evoluerende PowerShell-implantaten die door GreenCharlie in de loop der jaren zijn ingezet. Het is vermeldenswaard dat Proofpoint een andere POWERSTAR-opvolger, genaamd BlackSmith, beschreef die eind juli 2024 werd gebruikt in een spear-phishingcampagne gericht op een prominente Joodse figuur.

Het infectieproces bestaat vaak uit meerdere fasen. Eerst wordt toegang verkregen via phishing, vervolgens wordt er communicatie tot stand gebracht met command-and-control (C2)-servers en uiteindelijk worden gegevens geëxfiltreerd of extra payloads geleverd.

Uit de bevindingen van Recorded Future blijkt dat de aanvaller sinds mei 2024 een groot aantal DDNS-domeinen heeft geregistreerd. Het bedrijf heeft ook communicatie tussen IP-adressen in Iran (38.180.146(.)194 en 38.180.146(.)174) en de infrastructuur van GreenCharlie geïdentificeerd tussen juli en augustus 2024.

Bovendien is er een directe link ontdekt tussen GreenCharlie-clusters en C2-servers die door GORBLE worden gebruikt. Er wordt aangenomen dat de operaties worden gefaciliteerd door middel van Proton VPN of Proton Mail om hun activiteit te verdoezelen.

“De phishing-activiteiten van GreenCharlie zijn zeer gericht en maken vaak gebruik van social engineering-technieken die inspelen op actuele gebeurtenissen en politieke spanningen”, aldus Recorded Future.

“De groep heeft sinds mei 2024 talloze domeinen geregistreerd, waarvan er veel waarschijnlijk worden gebruikt voor phishingactiviteiten. Deze domeinen zijn gekoppeld aan DDNS-providers, die snelle wijzigingen in IP-adressen mogelijk maken, waardoor het moeilijk is om de activiteiten van de groep te volgen.”

De onthulling komt te midden van een toename van Iraanse kwaadaardige cyberactiviteiten tegen de VS en andere buitenlandse doelen. Eerder deze week onthulde Microsoft dat meerdere sectoren in de VS en de VAE het doelwit zijn van een Iraanse dreigingsactor met de codenaam Peach Sandstorm (ook bekend als Refined Kitten).

Daarnaast meldden Amerikaanse overheidsinstanties dat een andere door de Iraanse staat gesteunde hackersgroep, Pioneer Kitten, in de tussentijd heeft gewerkt als Initial Access Broker (IAB) om ransomware-aanvallen te faciliteren op het onderwijs, de financiële sector, de gezondheidszorg, defensie en de overheid in de VS, in samenwerking met de groepen NoEscape, RansomHouse en BlackCat.

Thijs Van der Does