Los investigadores examinaron de cerca a Charming Kitten, cuando atacó a la empresa biofarmacéutica estadounidense Gilead Sciences en mayo de 2020. Se cree que Irán está interesado en acceder a cualquier información sobre las posibles vacunas y tratamientos de COVID-19.
El grupo ITG18 patrocinado por Irán puede no ser el actor de amenazas patrocinado por el Estado más sofisticado que existe. Sin embargo, sus técnicas demuestran ser exitosas una y otra vez. De la mano de Charming Kitten han logrado filtrar datos desde 2018.
Lo que explica Richard Emerson
El analista principal de caza de amenazas de IBM X-Force, Richard Emerson, explicó que ITG18 tiende a dejar directorios abiertos. Esto ayuda a los investigadores a conocer mejor las herramientas y técnicas utilizadas por el grupo. Y a veces, resulta ser un tesoro.
Durante la sesión de Black Hat USA 2021, ciertos investigadores de IBM X-Force esbozaron los detalles del actor de amenazas patrocinado por el estado ITG18.
Las tácticas, técnicas y procedimientos de este grupo se solapan con grupos conocidos como Charming Kitten, Phosphorus y TA453.
Lo que descubrieron los investigadores
En el transcurso de una semana, los investigadores vieron varios archivos subidos al servidor. Dentro de estos archivos se incluyó información filtrada relacionada con un miembro de la marina griega y otro de la estadounidense.
También encontraron más de 4 horas de grabación del escritorio de un operador de ITG18. En este video se validaba manualmente las credenciales de la víctima y varios archivos de vídeo cortos, que luego determinaron que eran vídeos de entrenamiento.
Emerson destacó que el grupo de amenazas dedica mucho esfuerzo y trabajo manual al phishing de credenciales. Lo hacen con el fin de apoyar sus objetivos de espionaje y vigilancia.
Por ejemplo, han enviado mensajes y correos electrónicos a las víctimas potenciales antes de intentar que descarguen el malware o visiten una página de phishing.
ITG18 se distingue de otros grupos porque no le importa mucho la divulgación pública de sus métodos o herramientas. Por ejemplo, en marzo de 2019, Microsoft afirmó que había desbaratado a Charming Kitten y se hizo con 99 dominios asociados al grupo. Un par de semanas después, ITG18 registró dominios similares y ha continuado sus operaciones como siempre.
Charming Kitten y su propósito
Según Emerson, el grupo de Charming Kitten no está constantemente innovando y tratando de ocultar su actividad a la comunidad de seguridad. Tienen métodos para hacer las cosas, e independientemente de la divulgación pública. Les sigue funcionando en términos de comprometer y exfiltrar datos de sus objetivos.
ITG18 busca las credenciales de Google, Yahoo y Microsoft de las víctimas. Charming Kitten y su grupo son buenos en usar herramientas legítimas incorporadas, como Google Takeout, que recoge y exporta datos en forma de archivo.
Desde 2018, ITG18 ha filtrado cerca de 2 terabytes de datos de las víctimas. IBM recopiló 2.000 indicadores únicos asociados a las actividades del grupo.
Los analistas de X-Force señalaron que los operadores de ITG18 son humanos, por lo que son propensos a cometer errores.
Emerson describió los errores que cometió el actor de la amenaza iraní Charming Kitten, nombrando el ser golpeado por el ransomware como su favorito.
