GreenCharlie-Infrastruktur zielt mit fortschrittlichem Phishing und Malware auf politische Einrichtungen in den USA ab

Die Insikt Group hat einen deutlichen Anstieg der Cyber-Bedrohungsaktivitäten durch GreenCharlie festgestellt, eine Iran-Nexus-Gruppe, die sich mit Mint Sandstorm, Charming Kitten und APT42 überschneidet. GreenCharlie zielt auf politische und staatliche Einrichtungen in den USA ab und nutzt ausgeklügelte Phishing-Operationen und Malware wie GORBLE und POWERSTAR. Die Infrastruktur der Gruppe, zu der auch Domains gehören, die bei Anbietern von dynamischem DNS (DDNS) registriert sind, ermöglicht die Phishing-Angriffe der Gruppe.

GreenCharlies anhaltende Bedrohung

Seit Juni 2024 verfolgt die Insikt Group die Infrastruktur, die mit GreenCharlie in Verbindung steht, einer Cyber-Bedrohungsgruppe mit Iran-Nexus und Verbindungen zu Mint Sandstorm, Charming Kitten und APT42. Die Analyse der Insikt Group brachte die GreenCharlie-Infrastruktur mit Malware in Verbindung, die Berichten zufolge verwendet wurde, um US-Wahlkampfbeamte, Regierungsstellen und strategische Vermögenswerte ins Visier zu nehmen.

GreenCharlie wird mit Malware in Verbindung gebracht, darunter POWERSTAR (auch bekannt als CharmPower und GorjolEcho) und GORBLE, wobei letzteres von Google-Mandiant identifiziert wurde. Sowohl GORBLE als auch POWERSTAR sind Varianten derselben Malware-Familie, die entwickelt wurden, um Spionageaktivitäten über Spearphishing-Kampagnen zu ermöglichen.

Der Iran und die mit ihm verbündeten Cyberspionageakteure haben immer wieder sowohl die Absicht als auch die Fähigkeit unter Beweis gestellt, sich an Einfluss- und Einmischungsoperationen zu beteiligen, die auf US-Wahlen und inländische Informationsräume abzielen. Diese Kampagnen werden wahrscheinlich weiterhin Hack-and-Leak-Taktiken anwenden, die darauf abzielen, politische Kandidaten zu untergraben oder zu unterstützen, das Wählerverhalten zu beeinflussen und Zwietracht zu schüren.

Die Infrastruktur der Gruppe ist sorgfältig ausgearbeitet und nutzt dynamische DNS-Anbieter (DDNS) wie Dynu, DNSEXIT und Vitalwerks, um Domains zu registrieren, die bei Phishing-Angriffen verwendet werden. Diese Domains verwenden oft irreführende Themen im Zusammenhang mit Cloud-Diensten, Dateifreigabe und Dokumentenvisualisierung, um Ziele dazu zu verleiten, vertrauliche Informationen preiszugeben oder bösartige Dateien herunterzuladen.

Die Netzwerkintelligenz von Recorded Future hat mehrere im Iran ansässige IP-Adressen identifiziert, die mit der Infrastruktur von GreenCharlie kommunizieren. Die Verwendung von ProtonVPN und ProtonMail deutet außerdem auf einen Versuch hin, die Aktivitäten der Gruppe zu verschleiern, eine gängige Taktik unter iranischen APTs.

Die Phishing-Operationen von GreenCharlie sind sehr zielgerichtet und verwenden oft Social-Engineering-Techniken, die aktuelle Ereignisse und politische Spannungen ausnutzen. Die Gruppe hat seit Mai 2024 zahlreiche Domains registriert, von denen viele wahrscheinlich für Phishing-Aktivitäten verwendet werden. Diese Domains sind mit DDNS-Anbietern verknüpft, die schnelle Änderungen der IP-Adressen ermöglichen, was es schwierig macht, die Aktivitäten der Gruppe zu verfolgen.

Die von GreenCharlie eingesetzte Malware, einschließlich GORBLE und POWERSTAR, durchläuft einen mehrstufigen Infektionsprozess. Nach dem ersten Zugriff durch Phishing stellt die Malware die Kommunikation mit Command-and-Control-Servern (C2) her, wodurch die Angreifer Daten exfiltrieren oder zusätzliche Nutzlasten liefern können.

Um die gesamte Analyse zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.