Charming Kitten nutzt Multi-Personen-Impersonation

Jeder braucht einen Freund. Keine Advanced Persistent Threat (APT) Gruppe in diesem Jahr hat sich diese Aussage mehr zu Herzen genommen als der mit dem Iran verbündete Spionage-Bedrohungsakteur TA453. Ende 2021 und bis ins Jahr 2022 hinein haben die Forscher von Proofpoint beobachtet, dass TA453, der sich mit Aktivitäten überschneidet, die als Charming Kitten, PHOSPHORUS und APT42 verfolgt werden, seinen Ansatz ständig erneuert, um seine geheimdienstlichen Prioritäten zu erfüllen.

Ende Juni 2022 führte diese Entwicklung zu Kampagnen, die das nutzen, was Proofpoint informell Multi-Persona Impersonation (MPI) nennt, eine Untergruppe von Impersonation, die in Proofpoints Email Fraud Taxonomy Framework aufgeführt ist. Mit MPI hebt TA453 sein zielgerichtetes Social Engineering auf eine neue Ebene, indem es Forscher nicht nur mit einer von einem Akteur kontrollierten Persona anspricht, sondern mit mehreren. Mit dieser Technik kann TA453 das psychologische Prinzip des Social Proofs ausnutzen, um seine Ziele auszuspionieren und die Authentizität des Spear-Phishings des Bedrohungsakteurs zu erhöhen.

Proofpoint hat diese Technik bereits bei fortgeschrittenen E-Mail-Angreifern wie TA2520 (Cosmic Lynx) beobachtet. Bei jedem ihrer zuletzt beobachteten Angriffe via E-Mails wurden mehrere gefälschte Identitäten verwendet.

Hierzu nutzte TA453 Identitäten von echten Personen, die in westlichen Forschungseinrichtungen im Bereich Außenpolitik tätig sind. Bei den Angriffen kommen zudem neue Social-Engineering-Taktiken zum Einsatz, um im Auftrag der Islamischen Revolutionsgarden des Iran Informationen zu erbeuten. 

Bei den Kampagnen von TA453 konnte beobachtet werden, wie sich die Gruppe bei ihren Spear-Phishing-Angriffen mehrerer Identitäten bediente, um sich das psychologische Prinzip des sogenannten Social Proof zunutze zu machen. Hierdurch soll insbesondere die vermeintliche Authentizität der Korrespondenz gesteigert werden. 

Die von TA453 missbrauchten Identitäten umfassen echte Personen, die beim PEW Research Center, dem Foreign Policy Research Institute (FRPI), dem britischen Chatham House und der Wissenschaftszeitschrift Nature tätig sind. Mittels dieser Vorgehensweise wurden Personen attackiert, die über Informationen bezüglich dem Staat Israel, den Golfstaaten, der Abraham Accords Declaration sowie bezüglich der Nuklearwaffenkontrolle im Zusammenhang mit einem möglichen Konflikt zwischen den USA und Russland verfügen. 

Die Security-Experten von Proofpoint gehen davon aus, dass TA453 zur Unterstützung der Islamischen Revolutionsgarden (IRGC) operiert, wobei diese Cyberspionage-Kampagnen darauf abzielen, sensible Daten und Informationen zu stehlen. 

Bei einer Standard-TA453-Kampagne, die die Forscher von Proofpoint als solche bezeichnen, gibt sich der Bedrohungsakteur als Einzelperson aus, z. B. als Journalist oder politiknahe Person, die mit dem Zielobjekt zusammenarbeitet. In der Vergangenheit hatte es TA453 auf Akademiker, politische Entscheidungsträger, Diplomaten, Journalisten und Menschenrechtsaktivisten abgesehen. Die TA453-Aktivitäten zeichnen sich durch harmlose Gespräche aus, die schließlich zu Verbindungen zum Sammeln von Zugangsdaten führen. Proofpoint hat einige wenige Fälle beobachtet, in denen TA453 Malware eingesetzt hat. In fast allen Fällen führte TA453 Einzelgespräche mit ihren Zielpersonen, was sich jedoch Mitte 2022 änderte.

Proofpoint-Forscher beobachteten ab Juni 2022 eine Veränderung in der Vorgehensweise von TA453. In dieser ersten Kampagne begann TA453 die Konversation als „Aaron Stein, Director of Research at FRPI“ getarnt. Der Akteur stellte eine Reihe von Fragen, um einen Dialog über Israel, die Golfstaaten und das Abraham-Abkommen zu führen. Während diese Fragen in der Regel dazu dienen, einen Vorwand zu schaffen, um einen Link zum Sammeln von Anmeldeinformationen zu senden oder ein bösartiges Dokument zu übermitteln, ist es auch möglich, dass es sich um nachrichtendienstliche Fragen handelt, die an TA453 gestellt wurden.