GreenCharlie インフラストラクチャが高度なフィッシングとマルウェアで米国の政治団体を標的に

Insikt Groupは、Mint Sandstorm、Charming Kitten、APT42と重複するイラン関連のグループであるGreenCharlieによるサイバー脅威活動の大幅な増加を特定しました。 GreenCharlieは、米国の政治団体や政府機関を標的に、高度なフィッシング操作やGORBLEやPOWERSTARなどのマルウェアを利用しています。 このグループのインフラストラクチャには、ダイナミックDNS(DDNS)プロバイダーに登録されたドメインが含まれており、グループのフィッシング攻撃を可能にしています。

GreenCharlieの執拗な脅威

2024年6月以降、Insikt Groupは、Mint Sandstorm、Charming Kitten、APT42とつながりのあるイラン関連のサイバー脅威グループであるGreenCharlieに関連するインフラストラクチャを追跡しています。 Insikt Groupの分析では、GreenCharlieのインフラストラクチャを、米国の政治キャンペーン関係者、政府機関、および戦略的資産を標的にするために使用されたと報告されているマルウェアに関連付けました。

GreenCharlie は、POWERSTAR (CharmPower や GorjolEcho とも呼ばれます) や GORBLE などのマルウェアに関連付けられており、後者は Google-Mandiant によって特定されています。 GORBLEとPOWERSTARはどちらも同じマルウェアファミリーの亜種であり、スピアフィッシングキャンペーンによるスパイ活動を可能にするように設計されています。

イランとそれに関連するサイバースパイ活動者は、米国の選挙や国内の情報空間を標的とした影響力と干渉作戦に従事する意図と能力の両方を一貫して示してきた。 これらのキャンペーンは、政治家候補者を弱体化または支援し、有権者の行動に影響を与え、不和を助長することを目的としたハッキングアンドリーク戦術を引き続き利用する可能性があります。

このグループのインフラストラクチャは細心の注意を払って作成されており、Dynu、DNSEXIT、VitalwerksなどのダイナミックDNS(DDNS)プロバイダーを利用して、フィッシング攻撃で使用されるドメインを登録しています。 これらのドメインでは、クラウドサービス、ファイル共有、ドキュメントの視覚化に関連する欺瞞的なテーマが採用されていることが多く、ターゲットを誘導して機密情報を開示させたり、悪意のあるファイルをダウンロードさせたりします。

Recorded FutureのNetwork Intelligenceは、GreenCharlieのインフラストラクチャと通信しているイランを拠点とする複数のIPアドレスを特定しました。 ProtonVPNとProtonMailの使用は、イランのAPTの間で一般的な戦術であるグループの活動を難読化する試みをさらに示しています。

GreenCharlieのフィッシング作戦は、時事問題や政治的緊張を悪用するソーシャルエンジニアリング手法を多く採用しており、非常に標的を絞っています。 このグループは2024年5月以降、多数のドメインを登録しており、その多くはフィッシング活動に使用されている可能性があります。 これらのドメインはDDNSプロバイダーにリンクされているため、IPアドレスの急速な変更が可能になり、グループの活動を追跡することが困難になります。

GreenCharlieが展開するマルウェア(GORBLEやPOWERSTARなど)は、多段階の感染プロセスを経ます。 フィッシングによる最初のアクセスの後、マルウェアはコマンド&コントロール(C2)サーバーとの通信を確立し、攻撃者がデータを盗み出したり、追加のペイロードを配信したりできるようにします。

分析全文を読むには、ここをクリックしてレポートをPDF形式でダウンロードしてください。