Ошибки APT Charming Kitten помогли ИБ-экспертам лучше изучить киберпреступников

В ходе расследования деятельности киберпреступной группировки ITG18 (также известной как Charming Kitten и Phosphorous) команда ИБ-экспертов IBM X-Force провела анализ ошибок операционной безопасности злоумышленников, чтобы лучше понять техники, процедуры и тактики хакеров.

Связанная с иранским правительством ITG18 уже давно осуществляет атаки на журналистов, госслужащих , медицинских экспертов и людей, участвующих в разработке вакцины против коронавирусной инфекции (COVID-19).

«Группировка в первую очередь ориентирована на фишинговые атаки и кражу учетных данных. Это довольно крупная группировка, исходя из количества обнаруженной инфраструктуры. За последние пару лет только с этой группировкой было связано около 2 тыс. индикаторов компрометации», — отметили эксперты.

В ходе анализа атаки на руководителей исследовательского центра COVID-19 ИБ-эксперты обнаружили ошибки в конфигурации инфраструктуры злоумышленников и смогли получить большое количество новой информации об APT. Среди информации, обнаруженной исследователями, были обучающие видеоролики о настройке скомпрометированных учетных записей электронной почты для поддержания удаленного доступа, способах хищения данных и методах расширения возможности компрометации с помощью украденной информации.

Одной из постоянных ошибок ITG18 является неправильная конфигурация серверов. Группировка хранит полученную информацию на нескольких таких серверах, где любой пользователь может найти большие архивные файлы размером от 1 ГБ до 100–150 ГБ.

Свои находки исследователи представят на конференции Black Hat USA 4 и 5 августа 2021 года.