Cybersäkerhetsforskare släpper i dag ny information om hotaktören TA453 (även känd som Charming Kitten), för att avslöja hur gruppen anammar nya verktyg och tekniker, distribuerar nya filtyper och riktar in sig på nya operativsystem. Framför allt har man på senare tid fokuserat på att skicka skadlig programvara för Mac till sina måltavlor.
Gruppen har kopplingar till den iranska statsapparaten – och man riktar ofta in sig på experter inom Mellanösternfrågor och kärnvapensäkerhet. Bland annat utger man sig för att vara forskare, journalister och analytiker för tankesmedjor för att på så sätt påverka och vinna förtroende.
I en nyligen genomförd kampanj maskerade gruppen sig som en anställd vid Royal United Services Institute (RUSI). Därigenom kunde man knyta kontakt med en kärnvapensäkerhetsexpert vid en USA-baserad tankesmedja och be personen granska utkastet till ett kommande dokument kallat ”Iran in the Global Security Context”.
Efter ett tag skickade man över länk till ett Google Sheets-dokument, innehållande en LNK-fil – med syfte att skapa en bakdörr till mottagarens Windows-enhet.
Just användandet av LNK-filer är en direkt effekt av Microsofts avveckling av VBA-makron. I maj 2023 började TA453 distribuera LNK-infektionskedjor istället för Microsoft Word-dokument med makron.Man använder också ett tillvägagångssätt med flera tjänster däribland av Google Scripts, Dropbox och CleverApps.
När gruppen fick veta att måltavlan var Mac-användare återvände man en vecka senare och försökte plantera skadlig programvara för Mac istället, genom att få måltavlan att ansluta till en VPN-klient.
Hela rapporten finns att läsa här:
