Charming Kitten (APT35): эволюция имперсонации и фишинга

Источник: vip.narimangharib.com
Недавняя кампания группы Charming Kitten (также известной как APT35 или Phosphorus) демонстрирует значительное усложнение тактик и стратегического подхода к таргетингу отдельных лиц. Операция отличается целенаправленной имперсонацией — злоумышленники выдают себя за сотрудницу Пентагона Ariana Tabatabai, что служит инструментом для установления доверия у жертв и повышения эффективности атак.
Суть кампании
Главными целями операции выступают иранские активисты, что указывает на сохраняющийся геополитический мотив. Кампания сочетает в себе долгосрочное планирование и автоматизацию инфраструктуры: подготовительный этап длился не менее двух месяцев, при этом велся постоянный мониторинг каналов социальных сетей для выбора оптимального времени взаимодействия с целями.
Ключевые особенности и нововведения
- Длительное оперативное планирование — не менее двух месяцев перед реализацией.
- Мониторинг социальных сетей для определения моментa атаки и повышения успеха фишинга.
- Автоматизация инфраструктуры: систематическая регистрация более 30 активных доменов в течение двух месяцев.
- Фишинговая методика, имитирующая страницу аутентификации Google, специально скопированную под интерфейс восстановления аккаунта Google.
- Использование механизма управления через WebSocket (C2) для извлечения данных и обеспечения связи в режиме реального времени.
- Пошаговая временная шкала: создание поддельного аккаунта Telegram в мае 2025 года и последовательное развёртывание инфраструктуры с пиком регистрации доменов в конце июля — начале августа.
- Атрибуция к Charming Kitten подтверждается характерными TTPs, что отражает переход от базового фишинга к более стратегическим и информированным кибероперациям.
Техническая сторона атаки
Атака в основном опирается на фишинговую страницу, маскирующуюся под законный интерфейс восстановления учётной записи Google. Такой подход повышает вероятность ввода учётных данных жертвой. Фишинговый домен был связан с контролл-сервером через WebSocket, что позволило злоумышленникам получать данные в реальном времени и гибко управлять операцией.
Кроме того, массовая регистрация доменов и использование автоматизированных скриптов для управления инфраструктурой свидетельствуют о наличии у группы ресурсов и опыта для планирования масштабируемых кампаний.
Временная шкала (ключевые этапы)
- Май 2025 — создание поддельного аккаунта в Telegram как подготовительный этап коммуникации с целями.
- Июнь–июль 2025 — последовательное развертывание инфраструктуры и регистрация подконтрольных доменов.
- Конец июля — начало августа 2025 — пик регистрации доменов и активизация фишинговых рассылок/взаимодействий.
«Имперсонация реального чиновника, вызывающего споры, служит преднамеренным выбором, направленным на использование воспринимаемой подлинности для завоевания доверия среди целей.»
Последствия и рекомендации
Уровень изощрённости кампании подчёркивает высокую опасность подобных операций для представителей гражданского общества и лиц, вовлечённых в политически чувствительные темы. Рекомендуемые меры предосторожности:
- Бдительность при получении писем и сообщений, связанных с восстановлением учётной записи: проверять домен отправителя и URL страницы перед вводом данных.
- Включение и контроль многофакторной аутентификации (MFA) для всех критичных учетных записей.
- Использование средств защиты электронной почты и веб-фильтрации на уровне организации.
- Обучение и фишинг‑тестирование сотрудников и активистов для повышения осведомлённости о методах имперсонации.
- Мониторинг упоминаний ключевых фигур и организаций в социальных сетях на предмет подозрительной активности и поддельных аккаунтов.
- Немедленное сообщение в соответствующие службы безопасности при подозрении на компрометацию.
Вывод
Кампания Charming Kitten демонстрирует переход от бессистемных фишинговых операций к целенаправленным, планируемым и технологически подкреплённым кампаниям. Применение имперсонации высокопрофильного чиновника, автоматизация инфраструктуры и использование WebSocket‑C2 указывают на зрелость операционных подходов группы. Это требует повышенной бдительности со стороны потенциальных жертв и укрепления организационных мер кибербезопасности.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



