Hackers iranianos criam nova rede para atacar campanhas políticas nos EUA.

Hackers Iranianos Montam Nova Infraestrutura para Atacar Campanhas Políticas nos EUA, Revelam Pesquisadores

Pesquisadores de cibersegurança descobriram uma nova infraestrutura de rede criada por hackers iranianos para apoiar atividades direcionadas às campanhas políticas dos Estados Unidos.

O Insikt Group, da Recorded Future, vinculou essa nova infraestrutura ao grupo de ameaça conhecido como GreenCharlie, um grupo cibernético com ligações ao Irã, que tem conexões com outros grupos conhecidos como APT42, Charming Kitten, Damselfly, Mint Sandstorm (anteriormente Phosphorus), TA453 e Yellow Garuda.

A empresa de cibersegurança revelou que a infraestrutura do grupo é cuidadosamente planejada, utilizando provedores de DNS dinâmico (DDNS) como Dynu, DNSEXIT e Vitalwerks para registrar domínios usados em ataques de phishing.

Esses domínios frequentemente empregam temas enganosos relacionados a serviços em nuvem, compartilhamento de arquivos e visualização de documentos para atrair alvos a revelar informações sensíveis ou baixar arquivos maliciosos.

Entre os exemplos, estão termos como “cloud,” “uptimezone,” “doceditor,” “joincloud” e “pageviewer”. A maioria dos domínios foi registrada usando o domínio de topo .info, uma mudança em relação aos domínios anteriormente observados, como .xyz, .icu, .network, .online e .site.

O GreenCharlie tem um histórico de ataques de phishing altamente direcionados, utilizando técnicas sofisticadas de engenharia social para infectar usuários com malwares como POWERSTAR (também conhecido como CharmPower e GorjolEcho) e GORBLE, recentemente identificados em campanhas contra Israel e os EUA.

Esses malwares são avaliados como variantes do mesmo código malicioso, uma série de implantes PowerShell em constante evolução, implantados pelo GreenCharlie ao longo dos anos. Em julho de 2024, o grupo utilizou uma versão mais recente desse malware, apelidado de BlackSmith, em um ataque de spear-phishing contra uma figura proeminente da comunidade judaica.

O processo de infecção geralmente ocorre em várias etapas, começando com o acesso inicial através de phishing, seguido pela comunicação com servidores de comando e controle (C2) e, por fim, exfiltrando dados ou entregando cargas adicionais.

As descobertas da Recorded Future mostram que, desde maio de 2024, o GreenCharlie registrou um grande número de domínios DDNS. Além disso, a empresa identificou comunicações entre endereços IP baseados no Irã e a infraestrutura do GreenCharlie entre julho e agosto de 2024.

Foi descoberta também uma conexão direta entre os clusters do GreenCharlie e os servidores C2 usados pelo malware GORBLE. Acredita-se que as operações sejam facilitadas pelo uso do Proton VPN ou Proton Mail para ofuscar suas atividades.

As operações de phishing do GreenCharlie são altamente direcionadas, muitas vezes explorando eventos atuais e tensões políticas, conforme destacou a Recorded Future.

Essa revelação surge em meio a um aumento das atividades cibernéticas maliciosas iranianas contra os EUA e outros alvos estrangeiros. Recentemente, a Microsoft revelou que múltiplos setores nos EUA e nos Emirados Árabes Unidos estão sendo alvos de um grupo de ameaça iraniano chamado Peach Sandstorm.

Além disso, agências governamentais dos EUA alertaram que outro grupo de hackers patrocinado pelo Estado iraniano, o Pioneer Kitten, tem atuado como intermediário inicial para facilitar ataques de ransomware em setores como educação, finanças, saúde, defesa e governo nos EUA.

Achou esse artigo interessante? Comente, Inscreva-se na nossa newsletter ou siga-nos em nossas redes sociais para ler mais conteúdos exclusivos que publicamos.

Receba as últimas atualizações diretamente no seu celular através do nosso canal no WhatsApp. Clique aqui para se conectar agora.