GreenCharlie インフラストラクチャが高度なフィッシングとマルウェアで米国の政治団体を標的に
Insikt Group has identified a significant increase in cyber threat activity from GreenCharlie, an Iran-nexus group that overlaps with Mint Sandstorm, Charming Kitten, and APT42. Targeting US political and government entities, GreenCharlie utilizes sophisticated phishing operations and malware like GORBLE and POWERSTAR. The group's infrastructure, which includes domains registered with dynamic DNS (DDNS) providers, enables the group’s phishing attacks.
GreenCharlieの執拗な脅威
2024年6月以降、Insikt Groupは、Mint Sandstorm、Charming Kitten、APT42とつながりのあるイラン関連のサイバー脅威グループであるGreenCharlieに関連するインフラストラクチャを追跡しています。 Insikt Groupの分析では、GreenCharlieのインフラストラクチャを、米国の政治キャンペーン関係者、政府機関、および戦略的資産を標的にするために使用されたと報告されているマルウェアに関連付けました。
GreenCharlie は、POWERSTAR (CharmPower や GorjolEcho とも呼ばれます) や GORBLE などのマルウェアに関連付けられており、後者は Google-Mandiant によって特定されています。 GORBLEとPOWERSTARはどちらも同じマルウェアファミリーの亜種であり、スピアフィッシングキャンペーンによるスパイ活動を可能にするように設計されています。
イランとそれに関連するサイバースパイ活動者は、米国の選挙や国内の情報空間を標的とした影響力と干渉作戦に従事する意図と能力の両方を一貫して示してきた。 これらのキャンペーンは、政治家候補者を弱体化または支援し、有権者の行動に影響を与え、不和を助長することを目的としたハッキングアンドリーク戦術を引き続き利用する可能性があります。
このグループのインフラストラクチャは細心の注意を払って作成されており、Dynu、DNSEXIT、VitalwerksなどのダイナミックDNS(DDNS)プロバイダーを利用して、フィッシング攻撃で使用されるドメインを登録しています。 これらのドメインでは、クラウドサービス、ファイル共有、ドキュメントの視覚化に関連する欺瞞的なテーマが採用されていることが多く、ターゲットを誘導して機密情報を開示させたり、悪意のあるファイルをダウンロードさせたりします。
Recorded FutureのNetwork Intelligenceは、GreenCharlieのインフラストラクチャと通信しているイランを拠点とする複数のIPアドレスを特定しました。 ProtonVPNとProtonMailの使用は、イランのAPTの間で一般的な戦術であるグループの活動を難読化する試みをさらに示しています。
GreenCharlieのフィッシング作戦は、時事問題や政治的緊張を悪用するソーシャルエンジニアリング手法を多く採用しており、非常に標的を絞っています。 このグループは2024年5月以降、多数のドメインを登録しており、その多くはフィッシング活動に使用されている可能性があります。 これらのドメインはDDNSプロバイダーにリンクされているため、IPアドレスの急速な変更が可能になり、グループの活動を追跡することが困難になります。
GreenCharlieが展開するマルウェア(GORBLEやPOWERSTARなど)は、多段階の感染プロセスを経ます。 フィッシングによる最初のアクセスの後、マルウェアはコマンド&コントロール(C2)サーバーとの通信を確立し、攻撃者がデータを盗み出したり、追加のペイロードを配信したりできるようにします。
分析全文を読むには、ここをクリックしてレポートをPDF形式でダウンロードしてください。
付録A — 侵害を示す指標
|
ドメイン: activeeditor[.]info personalwebview[.]info longlivefreedom.ddns[.]net hugmefirstddd.ddns[.]net icenotebook.ddns[.]net softservicetel.ddns[.]net configtools.linkpc[.]net webviewerpage[.]info www.selfpackage[.]info selfpackage[.]info itemselectionmode[.]info termsstatement.duckdns[.]org mobiletoolssdk.dns-dynamic[.]net researchdocument[.]info timelinepage.dns-dynamic[.]net searchstatistics.duckdns[.]org messagepending[.]info www.chatsynctransfer[.]info synctimezone.dns-dynamic[.]net chatsynctransfer[.]info timezone-update.duckdns[.]org onetimestorage[.]info towerreseller.dns-dynamic[.]net translatorupdater.dns-dynamic[.]net api.overall-continuing[.]site backend.cheap-case[.]site admin.cheap-case[.]site demo.cheap-case[.]site dev.cheap-case[.]site app.cheap-case[.]site api.cheap-case[.]site editioncloudfiles.dns-dynamic[.]net fileeditiontools.linkpc[.]net entryconfirmation.duckdns[.]org doceditor.duckdns[.]orgv projectdrivevirtualcloud.co[.]uk continueresource.forumz[.]info destinationzone.duia[.]eu onlinecloudzone[.]info storageprovider.duia[.]eu lineeditor.32-b[.]it lineeditor.001www[.]com lineeditor.mypi[.]co dynamicrender.line[.]pm nextcloudzone.dns-dynamic[.]net realpage.redirectme[.]net sharestoredocs.theworkpc[.]com thisismyapp.accesscam[.]org thisismydomain.chickenkiller[.]com pagerendercloud.linkpc[.]net splitviewer.linkpc[.]net pageviewer.linkpc[.]net preparingdestination.fixip[.]org joincloud.mypi[.]co joincloud.duckdns[.]org realcloud[.]info directfileinternal[.]info sourceusedirection.mypi[.]co viewdestination.vpndns[.]net overflow.duia[.]eu tracedestination.duia[.]eu continue.duia[.]eu linereview.duia[.]eu highlightsreview.line.pm nextcloud.duia[.]us smartview.dns-dynamic.net contentpreview.redirectme[.]net finaledition.redirectme[.]net dynamictranslator.ddnsgeek[.]com personalstoragebox.linkpc[.]net personalcloudparent[.]info cloudarchive[.]info cloudregionpages[.]info streaml23.duia[.]eu pkglessplans[.]xyz worldstate.duia[.]us callfeedback.duia[.]ro reviewedition.duia[.]eu filereader.dns-dynamic[.]net vector.kozow[.]com cloudtools.duia[.]eu uptimezonemetadta.run[.]place documentcloudeditor.ddnsgeek[.]com coldwarehexahash.dns-dynamic[.]net readquickarticle.dns-dynamic[.]net uptime-timezone.dns-dynamic[.]net IP Addresses: 185.241.61[.]86 172.86.77[.]85 146.70.95[.]251 91.232.105[.]185 54.39.143[.]112 38.180.91[.]213 38.180.123[.]135 38.180.123[.]113 38.180.123[.]187 38.180.146[.]214 38.180.146[.]212 38.180.146[.]194 38.180.146[.]174 38.180.123[.]231 38.180.123[.]234 38.180.146[.]252 37.1.194[.]250 Iran-based IP Addresses: 193.111.236[.]130 185.143.233[.]120 94.74.175[.]209 94.74.145[.]184 93.119.48[.]60 37.148.63[.]24 37.255.251[.]17 5.106.153[.]245 5.106.169[.]235 5.106.185[.]98 5.106.202[.]101 5.106.219[.]243 Malware Hash: C3486133783379e13ed37c45dc6645cbee4c1c6e62e7988722931eef99c8eaf3 33a61ff123713da26f45b399a9828e29ad25fbda7e8994c954d714375ef92156 4ac088bf25d153ec2b9402377695b15a28019dc8087d98bd34e10fed3424125f |
付録B — MITRE ATT&CK手法
| 戦術:手法 | ATT&CKコード |
| Resource Development: Acquire Infrastructure: Domains | T1583.001 |
| Resource Development: Establish Accounts: Email Accounts | T1585.002 |
| Initial Access: Spearphishing Attachment | T1566.001 |
| Initial Access: Spearphishing Link | T1566.002 |
| Execution: Command and Scripting Interpreter: PowerShell | T1059.001 |
| Execution: Command and Scripting Interpreter: Unix Shell | T1059.004 |
| Persistence: Boot or Logon Autostart Execution: Registry Run Keys/Startup Folder | T1547.001 |
| Persistence: Scheduled Task/Job: Scheduled Task | T1053.005 |
| Discovery: システム情報検出 | T1082 |
| Discovery: プロセス検出 | T1057 |
| Command and Control: Application Layer Protocol: Web Protocols | T1071.001 |
関連ニュース&研究Insiktレポート
