GreenCharlie-Infrastruktur zielt mit fortschrittlichem Phishing und Malware auf politische Einrichtungen in den USA ab

Insikt Group has identified a significant increase in cyber threat activity from GreenCharlie, an Iran-nexus group that overlaps with Mint Sandstorm, Charming Kitten, and APT42. Targeting US political and government entities, GreenCharlie utilizes sophisticated phishing operations and malware like GORBLE and POWERSTAR. The group's infrastructure, which includes domains registered with dynamic DNS (DDNS) providers, enables the group’s phishing attacks.

GreenCharlies anhaltende Bedrohung

Seit Juni 2024 verfolgt die Insikt Group die Infrastruktur, die mit GreenCharlie in Verbindung steht, einer Cyber-Bedrohungsgruppe mit Iran-Nexus und Verbindungen zu Mint Sandstorm, Charming Kitten und APT42. Die Analyse der Insikt Group brachte die GreenCharlie-Infrastruktur mit Malware in Verbindung, die Berichten zufolge verwendet wurde, um US-Wahlkampfbeamte, Regierungsstellen und strategische Vermögenswerte ins Visier zu nehmen.

GreenCharlie wird mit Malware in Verbindung gebracht, darunter POWERSTAR (auch bekannt als CharmPower und GorjolEcho) und GORBLE, wobei letzteres von Google-Mandiant identifiziert wurde. Sowohl GORBLE als auch POWERSTAR sind Varianten derselben Malware-Familie, die entwickelt wurden, um Spionageaktivitäten über Spearphishing-Kampagnen zu ermöglichen.

Der Iran und die mit ihm verbündeten Cyberspionageakteure haben immer wieder sowohl die Absicht als auch die Fähigkeit unter Beweis gestellt, sich an Einfluss- und Einmischungsoperationen zu beteiligen, die auf US-Wahlen und inländische Informationsräume abzielen. Diese Kampagnen werden wahrscheinlich weiterhin Hack-and-Leak-Taktiken anwenden, die darauf abzielen, politische Kandidaten zu untergraben oder zu unterstützen, das Wählerverhalten zu beeinflussen und Zwietracht zu schüren.

Die Infrastruktur der Gruppe ist sorgfältig ausgearbeitet und nutzt dynamische DNS-Anbieter (DDNS) wie Dynu, DNSEXIT und Vitalwerks, um Domains zu registrieren, die bei Phishing-Angriffen verwendet werden. Diese Domains verwenden oft irreführende Themen im Zusammenhang mit Cloud-Diensten, Dateifreigabe und Dokumentenvisualisierung, um Ziele dazu zu verleiten, vertrauliche Informationen preiszugeben oder bösartige Dateien herunterzuladen.

Die Netzwerkintelligenz von Recorded Future hat mehrere im Iran ansässige IP-Adressen identifiziert, die mit der Infrastruktur von GreenCharlie kommunizieren. Die Verwendung von ProtonVPN und ProtonMail deutet außerdem auf einen Versuch hin, die Aktivitäten der Gruppe zu verschleiern, eine gängige Taktik unter iranischen APTs.

Die Phishing-Operationen von GreenCharlie sind sehr zielgerichtet und verwenden oft Social-Engineering-Techniken, die aktuelle Ereignisse und politische Spannungen ausnutzen. Die Gruppe hat seit Mai 2024 zahlreiche Domains registriert, von denen viele wahrscheinlich für Phishing-Aktivitäten verwendet werden. Diese Domains sind mit DDNS-Anbietern verknüpft, die schnelle Änderungen der IP-Adressen ermöglichen, was es schwierig macht, die Aktivitäten der Gruppe zu verfolgen.

Die von GreenCharlie eingesetzte Malware, einschließlich GORBLE und POWERSTAR, durchläuft einen mehrstufigen Infektionsprozess. Nach dem ersten Zugriff durch Phishing stellt die Malware die Kommunikation mit Command-and-Control-Servern (C2) her, wodurch die Angreifer Daten exfiltrieren oder zusätzliche Nutzlasten liefern können.

Um die gesamte Analyse zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.

Anhang A – Indikatoren für eine Gefährdung

Domänen: activeeditor[.]info personalwebview[.]info longlivefreedom.ddns[.]net hugmefirstddd.ddns[.]net icenotebook.ddns[.]net softservicetel.ddns[.]net configtools.linkpc[.]net webviewerpage[.]info www.selfpackage[.]info selfpackage[.]info itemselectionmode[.]info termsstatement.duckdns[.]org mobiletoolssdk.dns-dynamic[.]net researchdocument[.]info timelinepage.dns-dynamic[.]net searchstatistics.duckdns[.]org messagepending[.]info www.chatsynctransfer[.]info synctimezone.dns-dynamic[.]net chatsynctransfer[.]info timezone-update.duckdns[.]org onetimestorage[.]info towerreseller.dns-dynamic[.]net translatorupdater.dns-dynamic[.]net api.overall-continuing[.]site backend.cheap-case[.]site admin.cheap-case[.]site demo.cheap-case[.]site dev.cheap-case[.]site app.cheap-case[.]site api.cheap-case[.]site editioncloudfiles.dns-dynamic[.]net fileeditiontools.linkpc[.]net entryconfirmation.duckdns[.]org doceditor.duckdns[.]orgv projectdrivevirtualcloud.co[.]uk continueresource.forumz[.]info destinationzone.duia[.]eu onlinecloudzone[.]info storageprovider.duia[.]eu lineeditor.32-b[.]it lineeditor.001www[.]com lineeditor.mypi[.]co dynamicrender.line[.]pm nextcloudzone.dns-dynamic[.]net realpage.redirectme[.]net sharestoredocs.theworkpc[.]com thisismyapp.accesscam[.]org thisismydomain.chickenkiller[.]com pagerendercloud.linkpc[.]net splitviewer.linkpc[.]net pageviewer.linkpc[.]net preparingdestination.fixip[.]org joincloud.mypi[.]co joincloud.duckdns[.]org realcloud[.]info directfileinternal[.]info sourceusedirection.mypi[.]co viewdestination.vpndns[.]net overflow.duia[.]eu tracedestination.duia[.]eu continue.duia[.]eu linereview.duia[.]eu highlightsreview.line.pm nextcloud.duia[.]us smartview.dns-dynamic.net contentpreview.redirectme[.]net finaledition.redirectme[.]net dynamictranslator.ddnsgeek[.]com personalstoragebox.linkpc[.]net personalcloudparent[.]info cloudarchive[.]info cloudregionpages[.]info streaml23.duia[.]eu pkglessplans[.]xyz worldstate.duia[.]us callfeedback.duia[.]ro reviewedition.duia[.]eu filereader.dns-dynamic[.]net vector.kozow[.]com cloudtools.duia[.]eu uptimezonemetadta.run[.]place documentcloudeditor.ddnsgeek[.]com coldwarehexahash.dns-dynamic[.]net readquickarticle.dns-dynamic[.]net uptime-timezone.dns-dynamic[.]net IP Addresses: 185.241.61[.]86 172.86.77[.]85 146.70.95[.]251 91.232.105[.]185 54.39.143[.]112 38.180.91[.]213 38.180.123[.]135 38.180.123[.]113 38.180.123[.]187 38.180.146[.]214 38.180.146[.]212 38.180.146[.]194 38.180.146[.]174 38.180.123[.]231 38.180.123[.]234 38.180.146[.]252 37.1.194[.]250 Iran-based IP Addresses: 193.111.236[.]130 185.143.233[.]120 94.74.175[.]209 94.74.145[.]184 93.119.48[.]60 37.148.63[.]24 37.255.251[.]17 5.106.153[.]245 5.106.169[.]235 5.106.185[.]98 5.106.202[.]101 5.106.219[.]243 Malware Hash: C3486133783379e13ed37c45dc6645cbee4c1c6e62e7988722931eef99c8eaf3 33a61ff123713da26f45b399a9828e29ad25fbda7e8994c954d714375ef92156 4ac088bf25d153ec2b9402377695b15a28019dc8087d98bd34e10fed3424125f

Anhang B – Mitre ATT&CK-Techniken

Taktik: Technik	ATT&CK-Code
Resource Development: Acquire Infrastructure: Domains	T1583.001
Resource Development: Establish Accounts: Email Accounts	T1585.002
Initial Access: Spearphishing Attachment	T1566.001
Initial Access: Spearphishing Link	T1566.002
Execution: Command and Scripting Interpreter: PowerShell	T1059.001
Execution: Command and Scripting Interpreter: Unix Shell	T1059.004
Persistence: Boot or Logon Autostart Execution: Registry Run Keys/Startup Folder	T1547.001
Persistence: Scheduled Task/Job: Scheduled Task	T1053.005
Discovery: Ermittlung der Systeminformationen	T1082
Discovery: Prozesserkennung	T1057
Command and Control: Application Layer Protocol: Web Protocols	T1071.001