Research (Insikt)

GreenCharlie-Infrastruktur zielt mit fortschrittlichem Phishing und Malware auf politische Einrichtungen in den USA ab

Veröffentlicht: 20. August 2024

Von: Insikt Group®

GreenCharlie-Infrastruktur zielt mit fortschrittlichem Phishing und Malware auf politische Einrichtungen in den USA ab

Die Insikt Group hat einen deutlichen Anstieg der Cyber-Bedrohungsaktivitäten durch GreenCharlie festgestellt, eine Iran-Nexus-Gruppe, die sich mit Mint Sandstorm, Charming Kitten und APT42 überschneidet. GreenCharlie zielt auf politische und staatliche Einrichtungen in den USA ab und nutzt ausgeklügelte Phishing-Operationen und Malware wie GORBLE und POWERSTAR. Die Infrastruktur der Gruppe, zu der auch Domains gehören, die bei Anbietern von dynamischem DNS (DDNS) registriert sind, ermöglicht die Phishing-Angriffe der Gruppe.

GreenCharlies anhaltende Bedrohung

Seit Juni 2024 verfolgt die Insikt Group die Infrastruktur, die mit GreenCharlie in Verbindung steht, einer Cyber-Bedrohungsgruppe mit Iran-Nexus und Verbindungen zu Mint Sandstorm, Charming Kitten und APT42. Die Analyse der Insikt Group brachte die GreenCharlie-Infrastruktur mit Malware in Verbindung, die Berichten zufolge verwendet wurde, um US-Wahlkampfbeamte, Regierungsstellen und strategische Vermögenswerte ins Visier zu nehmen.

GreenCharlie wird mit Malware in Verbindung gebracht, darunter POWERSTAR (auch bekannt als CharmPower und GorjolEcho) und GORBLE, wobei letzteres von Google-Mandiant identifiziert wurde. Sowohl GORBLE als auch POWERSTAR sind Varianten derselben Malware-Familie, die entwickelt wurden, um Spionageaktivitäten über Spearphishing-Kampagnen zu ermöglichen.

Der Iran und die mit ihm verbündeten Cyberspionageakteure haben immer wieder sowohl die Absicht als auch die Fähigkeit unter Beweis gestellt, sich an Einfluss- und Einmischungsoperationen zu beteiligen, die auf US-Wahlen und inländische Informationsräume abzielen. Diese Kampagnen werden wahrscheinlich weiterhin Hack-and-Leak-Taktiken anwenden, die darauf abzielen, politische Kandidaten zu untergraben oder zu unterstützen, das Wählerverhalten zu beeinflussen und Zwietracht zu schüren.

Die Infrastruktur der Gruppe ist sorgfältig ausgearbeitet und nutzt dynamische DNS-Anbieter (DDNS) wie Dynu, DNSEXIT und Vitalwerks, um Domains zu registrieren, die bei Phishing-Angriffen verwendet werden. Diese Domains verwenden oft irreführende Themen im Zusammenhang mit Cloud-Diensten, Dateifreigabe und Dokumentenvisualisierung, um Ziele dazu zu verleiten, vertrauliche Informationen preiszugeben oder bösartige Dateien herunterzuladen.

Die Netzwerkintelligenz von Recorded Future hat mehrere im Iran ansässige IP-Adressen identifiziert, die mit der Infrastruktur von GreenCharlie kommunizieren. Die Verwendung von ProtonVPN und ProtonMail deutet außerdem auf einen Versuch hin, die Aktivitäten der Gruppe zu verschleiern, eine gängige Taktik unter iranischen APTs.

Die Phishing-Operationen von GreenCharlie sind sehr zielgerichtet und verwenden oft Social-Engineering-Techniken, die aktuelle Ereignisse und politische Spannungen ausnutzen. Die Gruppe hat seit Mai 2024 zahlreiche Domains registriert, von denen viele wahrscheinlich für Phishing-Aktivitäten verwendet werden. Diese Domains sind mit DDNS-Anbietern verknüpft, die schnelle Änderungen der IP-Adressen ermöglichen, was es schwierig macht, die Aktivitäten der Gruppe zu verfolgen.

Die von GreenCharlie eingesetzte Malware, einschließlich GORBLE und POWERSTAR, durchläuft einen mehrstufigen Infektionsprozess. Nach dem ersten Zugriff durch Phishing stellt die Malware die Kommunikation mit Command-and-Control-Servern (C2) her, wodurch die Angreifer Daten exfiltrieren oder zusätzliche Nutzlasten liefern können.

Um die gesamte Analyse zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.

Anhang A – Indikatoren für eine Gefährdung

Domänen:
 activeeditor[.]info
 personalwebview[.]info
 longlivefreedom.ddns[.]net
 hugmefirstddd.ddns[.]net
 icenotebook.ddns[.]net
 softservicetel.ddns[.]net
 configtools.linkpc[.]net
 webviewerpage[.]info
 www.selfpackage[.]info
 selfpackage[.]info
 itemselectionmode[.]info
 termsstatement.duckdns[.]org
 mobiletoolssdk.dns-dynamic[.]net
 researchdocument[.]info
 timelinepage.dns-dynamic[.]net
 searchstatistics.duckdns[.]org
 messagepending[.]info
 www.chatsynctransfer[.]info
 synctimezone.dns-dynamic[.]net
 chatsynctransfer[.]info
 timezone-update.duckdns[.]org
 onetimestorage[.]info
 towerreseller.dns-dynamic[.]net
 translatorupdater.dns-dynamic[.]net
 api.overall-continuing[.]site
 backend.cheap-case[.]site
 admin.cheap-case[.]site
 demo.cheap-case[.]site
 dev.cheap-case[.]site
 app.cheap-case[.]site
 api.cheap-case[.]site
 editioncloudfiles.dns-dynamic[.]net
 fileeditiontools.linkpc[.]net
 entryconfirmation.duckdns[.]org
 doceditor.duckdns[.]orgv
 projectdrivevirtualcloud.co[.]uk
 continueresource.forumz[.]info
 destinationzone.duia[.]eu
 onlinecloudzone[.]info
 storageprovider.duia[.]eu
 lineeditor.32-b[.]it
 lineeditor.001www[.]com
 lineeditor.mypi[.]co
 dynamicrender.line[.]pm
 nextcloudzone.dns-dynamic[.]net
 realpage.redirectme[.]net
 sharestoredocs.theworkpc[.]com
 thisismyapp.accesscam[.]org
 thisismydomain.chickenkiller[.]com
 pagerendercloud.linkpc[.]net
 splitviewer.linkpc[.]net
 pageviewer.linkpc[.]net
 preparingdestination.fixip[.]org
 joincloud.mypi[.]co
 joincloud.duckdns[.]org
 realcloud[.]info
 directfileinternal[.]info
 sourceusedirection.mypi[.]co
 viewdestination.vpndns[.]net
 overflow.duia[.]eu
 tracedestination.duia[.]eu
 continue.duia[.]eu
 linereview.duia[.]eu
 highlightsreview.line.pm
 nextcloud.duia[.]us
 smartview.dns-dynamic.net
 contentpreview.redirectme[.]net
 finaledition.redirectme[.]net
 dynamictranslator.ddnsgeek[.]com
 personalstoragebox.linkpc[.]net
 personalcloudparent[.]info
 cloudarchive[.]info
 cloudregionpages[.]info
 streaml23.duia[.]eu
 pkglessplans[.]xyz
 worldstate.duia[.]us
 callfeedback.duia[.]ro
 reviewedition.duia[.]eu
 filereader.dns-dynamic[.]net
 vector.kozow[.]com
 cloudtools.duia[.]eu
 uptimezonemetadta.run[.]place
 documentcloudeditor.ddnsgeek[.]com
 coldwarehexahash.dns-dynamic[.]net
 readquickarticle.dns-dynamic[.]net
 uptime-timezone.dns-dynamic[.]net
 
 IP-Addressen:
 185.241.61[.]86
 172.86.77[.]85
 146.70.95[.]251
 91.232.105[.]185
 54.39.143[.]112
 38.180.91[.]213
 38.180.123[.]135
 38.180.123[.]113
 38.180.123[.]187
 38.180.146[.]214
 38.180.146[.]212
 38.180.146[.]194
 38.180.146[.]174
 38.180.123[.]231
 38.180.123[.]234
 38.180.146[.]252
 37.1.194[.]250
 
 Iranische IP-Adressen:
 193.111.236[.]130
 185.143.233[.]120
 94.74.175[.]209 
 94.74.145[.]184 
 93.119.48[.]60
 37.148.63[.]24
 37.255.251[.]17 
 5.106.153[.]245
 5.106.169[.]235 
 5.106.185[.]98 
 5.106.202[.]101 
 5.106.219[.]243
 
 Malware-Hash:
 C3486133783379e13ed37c45dc6645cbee4c1c6e62e7988722931eef99c8eaf3
 33a61ff123713da26f45b399a9828e29ad25fbda7e8994c954d714375ef92156
 4ac088bf25d153ec2b9402377695b15a28019dc8087d98bd34e10fed3424125f
 

Anhang B – Mitre ATT&CK-Techniken

Taktik: Technik	ATT&CK-Code
Ressourcenentwicklung: Infrastruktur erwerben: Domänen	T1583.001
Ressourcenentwicklung: Konten einrichten: E-Mail-Konten	T1585.002
Erster Zugriff: Spearphishing-Anhang	T1566.001
Erster Zugriff: Spearphishing-Link	T1566.002
Ausführung: Befehls- und Skriptinterpreter: PowerShell	T1059.001
Ausführung: Befehls- und Skriptinterpreter: Unix-Shell	T1059.004
Persistenz: Boot- oder Anmelde-Autostart-Ausführung: Registry Run Keys/Startup-Ordner	T1547.001
Persistenz: Geplanter Task/Job: Geplanter Task	T1053.005
Erkennung: Erkennung von Systeminformationen	T1082
Erkennung: Prozesserkennung	T1057
Befehls- und Kontrollsystem: Protokoll der Anwendungsschicht: Web-Protokolle	T1071.001

Verwandt