Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Charming Kitten

Charming Kitten

Peretas Iran menggunakan alat baru untuk mencuri email dari korban

by

Aktor yang didukung pemerintah Iran yang dikenal sebagai Charming Kitten telah menambahkan alat baru ke gudang malware-nya yang memungkinkannya mengambil data pengguna dari akun Gmail, Yahoo!, dan Microsoft Outlook.

Dijuluki HYPERSCRAPE oleh Google Threat Analysis Group (TAG), perangkat lunak berbahaya yang sedang dikembangkan secara aktif dikatakan telah digunakan terhadap kurang dari dua lusin akun di Iran, dengan sampel tertua yang diketahui berasal dari tahun 2020. Alat ini pertama kali ditemukan pada bulan Desember. 2021.

Charming Kitten, sebuah ancaman gigih maju yang produktif (APT), diyakini terkait dengan Korps Pengawal Revolusi Islam (IRGC) Iran dan memiliki sejarah melakukan spionase yang selaras dengan kepentingan pemerintah.

Dilacak sebagai APT35, Cobalt Illusion, ITG18, Fosfor, TA453, dan Garuda Kuning, elemen kelompok juga telah melakukan serangan ransomware, menunjukkan bahwa motif pelaku ancaman adalah spionase dan didorong secara finansial.

“HYPERSCRAPE membutuhkan kredensial akun korban untuk dijalankan menggunakan sesi pengguna yang valid dan terotentikasi yang telah dibajak penyerang, atau kredensial yang telah diperoleh penyerang,” kata peneliti Google TAG, Ajax Bash.

Ditulis dalam .NET dan dirancang untuk dijalankan pada mesin Windows penyerang, alat ini dilengkapi dengan fungsi untuk mengunduh dan mengekstrak isi kotak masuk email korban, selain menghapus email keamanan yang dikirim dari Google untuk memperingatkan target dari setiap login yang mencurigakan.

Jika pesan awalnya belum dibaca, alat akan menandainya sebagai belum dibaca setelah membuka dan mengunduh email sebagai file “.eml”. Terlebih lagi, versi HYPERSCRAPE sebelumnya dikatakan telah menyertakan opsi untuk meminta data dari Google Takeout, fitur yang memungkinkan pengguna untuk mengekspor data mereka ke file arsip yang dapat diunduh.

Temuan ini mengikuti penemuan terbaru alat “grabber” Telegram berbasis C++ oleh PwC yang digunakan terhadap target domestik untuk mendapatkan akses ke pesan dan kontak Telegram dari akun tertentu.

Sebelumnya, grup tersebut terlihat menggunakan perangkat pengawasan Android khusus yang disebut LittleLooter, implan kaya fitur yang mampu mengumpulkan informasi sensitif yang tersimpan di perangkat yang disusupi serta merekam audio, video, dan panggilan.

“Seperti kebanyakan alat mereka, HYPERSCRAPE tidak terkenal karena kecanggihan teknisnya, melainkan efektivitasnya dalam mencapai tujuan Charming Kitten,” kata Bash. Akun yang terpengaruh sejak itu telah diamankan kembali dan para korban diberitahu.

Sumber: The Hackernews

APT Charming Kitten Menawan Peneliti Medis

by

Para peneliti mengungkap kampanye pencurian kredensial yang menargetkan para profesional genetika, neurologi, dan onkologi.

Peneliti keamanan telah mengaitkan kampanye phishing akhir tahun 2020 yang bertujuan untuk mencuri kredensial dari 25 profesional senior di organisasi penelitian medis di Amerika Serikat dan Israel ke kelompok ancaman persisten tingkat lanjut dengan tautan ke Iran yang disebut Charming Kitten.

Kampanye tersebut — dijuluki BadBlood karena fokus medisnya dan sejarah ketegangan antara Iran dan Israel — bertujuan untuk mencuri kredensial profesional yang berspesialisasi dalam penelitian genetika, neurologi, dan onkologi, menurut penelitian baru yang diposting online Rabu dari Joshua Miller dan Proofpoint Research dari Proofpoint. Tim.

Jenis penargetan ini mewakili keberangkatan untuk Charming Kitten, (juga dikenal sebagai Fosfor, Ajax atau TA453), yang — karena diyakini sejalan dengan Korps Pengawal Revolusi Islam Iran (IRGC) – di masa lalu terutama menempatkan para pembangkang, akademisi, diplomat dan jurnalis dalam bidikannya, kata para peneliti dalam laporan itu.

“Meskipun kampanye ini mungkin menunjukkan pergeseran dalam penargetan TA453 secara keseluruhan, mungkin juga itu hasil dari persyaratan pengumpulan intelijen jangka pendek tertentu,” tulis Miller dan tim dalam sebuah laporan. “BadBlood sejalan dengan tren penelitian medis yang semakin meningkat yang menjadi sasaran pelaku ancaman.”

selengkapnya : threatpost.com

Cyberspies Iran di balik kampanye spear-phishing SMS Natal

by

Sebuah kelompok spionase siber Iran yang dikenal sebagai Charming Kitten (APT35 atau Phosphorus) telah menggunakan liburan musim dingin baru-baru ini untuk menyerang target dari seluruh dunia menggunakan kampanye spear-phishing yang sangat canggih yang tidak hanya melibatkan serangan email tetapi juga pesan SMS.

CERTFA, organisasi keamanan siber yang khusus melacak operasi Iran, mengatakan mereka mendeteksi serangan yang menargetkan anggota lembaga think tank, pusat penelitian politik, profesor universitas, jurnalis, dan aktivis lingkungan.

Para korban berada di negara-negara sekitar Teluk Persia, Eropa, dan AS.

Peneliti CERTFA mengatakan bahwa kampanye khusus ini menunjukkan tingkat kompleksitas yang tinggi. Korban menerima pesan spear-phishing dari penyerang tidak hanya melalui email tetapi juga melalui SMS, saluran yang tidak banyak digunakan oleh pelaku ancaman.

Sementara pesan SMS berperan sebagai peringatan keamanan Google, email tersebut memanfaatkan akun yang sebelumnya diretas dan menggunakan umpan terkait liburan.

Persamaan yang umum di kedua kampanye tersebut adalah bahwa operator Charming Kitten berhasil menyembunyikan serangan mereka di balik URL Google yang sah https://www.google[.]com/url?q=https://script.google.com/xxxx, yang akan menipu bahkan penerima yang paling paham teknologi.

Sumber: CERTFA
Sumber: CERTFA

Namun ternyata, CERTFA mengatakan bahwa URL Google yang sah pada akhirnya akan mengarahkan pengguna melalui situs web yang berbeda dan akhirnya membawanya ke halaman phishing, di mana mereka akan dimintai kredensial masuk untuk layanan email pribadi seperti Gmail, Yahoo, dan Outlook, tetapi juga email bisnis.

Sumber: ZDNet

Mata-Mata Siber Iran Meninggalkan Video Pelatihan Terekspos Secara Online

by

Salah satu kelompok peretasan top Iran telah membiarkan server mereka terekspos online di mana para peneliti keamanan dari IBM X-Force mengatakan mereka menemukan segudang rekaman layar yang menunjukkan ketika para peretas beraksi dan diduga video adalah tutorial yang digunakan kelompok Iran untuk melatih anggota baru.

Video-video tersebut menunjukkan para peretas Iran melakukan berbagai tugas dan memasukkan langkah-langkah tentang cara membajak akun korban menggunakan daftar kredensial yang dikompromikan.

Akun email adalah target utama, tetapi akun media sosial juga diakses jika kredensial akun yang dikompromikan tersedia untuk target tersebut.

Peretas mengakses setiap bagian dari pengaturan akun dan mencari informasi pribadi yang mungkin tidak dimasukkan kedalam akun online lain sebagai bagian dari upaya mereka untuk membangun profil selengkap mungkin tentang setiap target.

IBM tidak merinci bagaimana para peretas memperoleh kredensial untuk setiap korban. Tidak jelas apakah operator telah menginfeksi target dengan malware yang dapat mencuri kata sandi dari browser mereka, atau apakah operator telah membeli kredensial dari pasar dark web.

Di video lain, operator juga melakukan langkah-langkah untuk mengekstrak data dari setiap akun. Ini termasuk mengekspor semua kontak akun, foto, dan dokumen dari situs penyimpanan cloud terkait, seperti Google Drive.

Salah satu Video tersebut juga menunjukkan upaya peretasan yang gagal untuk mengakses akun target, seperti akun pejabat Departemen Luar Negeri AS.

Video di mana serangan kompromi akun yang gagal biasanya untuk akun yang menggunakan otentikasi dua faktor (2FA), kata para peneliti dalam laporan yang dibagikan dengan ZDNet minggu ini.

Peneliti X-Force mengatakan server tempat mereka menemukan semua video ini adalah bagian dari infrastruktur serangan kelompok Iran yang mereka lacak sebagai ITG18, tetapi lebih dikenal sebagai Charming Kitten, Phosphorous, dan APT35.

Baca berita selengkapnya pada tautan di bawah ini;
Source: ZDNet