Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Charming Kitten (APT35): эволюция имперсонации и фишинга

2
3 мин
Недавняя кампания группы Charming Kitten (также известной как APT35 или Phosphorus) демонстрирует значительное усложнение тактик и стратегического подхода к таргетингу отдельных лиц. Операция отличается целенаправленной имперсонацией — злоумышленники выдают себя за сотрудницу Пентагона Ariana Tabatabai, что служит инструментом для установления доверия у жертв и повышения эффективности атак. Главными целями операции выступают иранские активисты, что указывает на сохраняющийся геополитический мотив. Кампания сочетает в себе долгосрочное планирование и автоматизацию инфраструктуры: подготовительный этап длился не менее двух месяцев, при этом велся постоянный мониторинг каналов социальных сетей для выбора оптимального времени взаимодействия с целями. Атака в основном опирается на фишинговую страницу, маскирующуюся под законный интерфейс восстановления учётной записи Google. Такой подход повышает вероятность ввода учётных данных жертвой. Фишинговый домен был связан с контролл-сервером через
Оглавление
Источник: vip.narimangharib.com
Источник: vip.narimangharib.com

Недавняя кампания группы Charming Kitten (также известной как APT35 или Phosphorus) демонстрирует значительное усложнение тактик и стратегического подхода к таргетингу отдельных лиц. Операция отличается целенаправленной имперсонацией — злоумышленники выдают себя за сотрудницу Пентагона Ariana Tabatabai, что служит инструментом для установления доверия у жертв и повышения эффективности атак.

Суть кампании

Главными целями операции выступают иранские активисты, что указывает на сохраняющийся геополитический мотив. Кампания сочетает в себе долгосрочное планирование и автоматизацию инфраструктуры: подготовительный этап длился не менее двух месяцев, при этом велся постоянный мониторинг каналов социальных сетей для выбора оптимального времени взаимодействия с целями.

Ключевые особенности и нововведения

  • Длительное оперативное планирование — не менее двух месяцев перед реализацией.
  • Мониторинг социальных сетей для определения моментa атаки и повышения успеха фишинга.
  • Автоматизация инфраструктуры: систематическая регистрация более 30 активных доменов в течение двух месяцев.
  • Фишинговая методика, имитирующая страницу аутентификации Google, специально скопированную под интерфейс восстановления аккаунта Google.
  • Использование механизма управления через WebSocket (C2) для извлечения данных и обеспечения связи в режиме реального времени.
  • Пошаговая временная шкала: создание поддельного аккаунта Telegram в мае 2025 года и последовательное развёртывание инфраструктуры с пиком регистрации доменов в конце июля — начале августа.
  • Атрибуция к Charming Kitten подтверждается характерными TTPs, что отражает переход от базового фишинга к более стратегическим и информированным кибероперациям.

Техническая сторона атаки

Атака в основном опирается на фишинговую страницу, маскирующуюся под законный интерфейс восстановления учётной записи Google. Такой подход повышает вероятность ввода учётных данных жертвой. Фишинговый домен был связан с контролл-сервером через WebSocket, что позволило злоумышленникам получать данные в реальном времени и гибко управлять операцией.

Кроме того, массовая регистрация доменов и использование автоматизированных скриптов для управления инфраструктурой свидетельствуют о наличии у группы ресурсов и опыта для планирования масштабируемых кампаний.

Временная шкала (ключевые этапы)

  • Май 2025 — создание поддельного аккаунта в Telegram как подготовительный этап коммуникации с целями.
  • Июнь–июль 2025 — последовательное развертывание инфраструктуры и регистрация подконтрольных доменов.
  • Конец июля — начало августа 2025 — пик регистрации доменов и активизация фишинговых рассылок/взаимодействий.
«Имперсонация реального чиновника, вызывающего споры, служит преднамеренным выбором, направленным на использование воспринимаемой подлинности для завоевания доверия среди целей.»

Последствия и рекомендации

Уровень изощрённости кампании подчёркивает высокую опасность подобных операций для представителей гражданского общества и лиц, вовлечённых в политически чувствительные темы. Рекомендуемые меры предосторожности:

  • Бдительность при получении писем и сообщений, связанных с восстановлением учётной записи: проверять домен отправителя и URL страницы перед вводом данных.
  • Включение и контроль многофакторной аутентификации (MFA) для всех критичных учетных записей.
  • Использование средств защиты электронной почты и веб-фильтрации на уровне организации.
  • Обучение и фишинг‑тестирование сотрудников и активистов для повышения осведомлённости о методах имперсонации.
  • Мониторинг упоминаний ключевых фигур и организаций в социальных сетях на предмет подозрительной активности и поддельных аккаунтов.
  • Немедленное сообщение в соответствующие службы безопасности при подозрении на компрометацию.

Вывод

Кампания Charming Kitten демонстрирует переход от бессистемных фишинговых операций к целенаправленным, планируемым и технологически подкреплённым кампаниям. Применение имперсонации высокопрофильного чиновника, автоматизация инфраструктуры и использование WebSocket‑C2 указывают на зрелость операционных подходов группы. Это требует повышенной бдительности со стороны потенциальных жертв и укрепления организационных мер кибербезопасности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Charming Kitten (APT35): эволюция имперсонации и фишинга".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.