BASICSTAR Backdoor
Заплахата Charming Kitten, произхождаща от Иран и известна още като APT35, CharmingCypress, Mint Sandstorm, TA453 и Yellow Garuda, наскоро беше свързана с поредица от нови атаки, насочени към експерти по политиката в Близкия изток. Тези атаки включват използването на нова задна врата, наречена BASICSTAR, която се внедрява чрез създаването на портал за измамни уеб семинари.
Charming Kitten има опит в провеждането на разнообразни кампании за социално инженерство, като използва тактики, които широко са насочени към различни субекти, включително мозъчни тръстове, неправителствени организации (НПО) и журналисти.
Съдържание
Киберпрестъпниците използват различни тактики за фишинг, за да компрометират жертвите
CharmingKitten често използва нетрадиционни техники за социално инженерство, като ангажиране на цели в продължителни имейл разговори, преди да въведе връзки към опасно съдържание. Microsoft разкри, че забележителни лица, работещи по въпроси от Близкия изток, са били избрани от тази заплаха за разпространение на зловреден софтуер като MischiefTut и MediaPl (известен също като EYEGLASS), предназначен да извлича чувствителна информация от компрометирани хостове.
Групата, за която се смята, че е свързана с Ислямската революционна гвардия на Иран (IRGC), е разпространила различни други задни врати, включително PowerLess, BellaCiao, POWERSTAR (известен още като GorjolEcho) и NokNok през последната година. Това подчертава техния ангажимент да упорстват в своите кибератаки, като адаптират тактиките и методите, въпреки че са публично разкрити.
Нападателите се представят за легитимни субекти, за да подмамят жертвите
Проучваните фишинг атаки включват оператори на Charming Kitten, които приемат прикритието на Rasanah International Institute for Iranian Studies (IIIS), за да инициират и установят доверие с техните цели.
Тези опити за фишинг се отличават с използването на компрометирани имейл акаунти от законни контакти, както и множество имейл акаунти под контрола на заплахата, практика, известна като Multi-Persona Impersonation (MPI).
Последователностите на атака обикновено включват RAR архиви, съдържащи LNK файлове, като начална стъпка за разпространение на зловреден софтуер. Съобщенията насърчават потенциалните мишени да участват в измамен уебинар по теми, съобразени с техните интереси. В един наблюдаван сценарий на многоетапно заразяване бяха внедрени BASICSTAR и KORKULOADER, скриптове за изтегляне на PowerShell.
Зловреден софтуер BASICSTAR събира чувствителна информация от компрометирани системи
BASICSTAR, идентифициран като злонамерен софтуер на Visual Basic Script (VBS), показва възможности като събиране на основна системна информация, изпълнение на отдалечени команди от Command-and-Control (C2) сървър и изтегляне и представяне на примамлив PDF файл.
Освен това, някои фишинг атаки са стратегически проектирани да предоставят различни задни врати въз основа на операционната система на целевата машина. Жертвите, използващи Windows, са подложени на компрометиране чрез POWERLESS. В същото време потребителите на Apple macOS са изложени на верига от инфекции, кулминираща в NokNok, улеснена от функционално VPN приложение, съдържащо вграден зловреден софтуер.
Изследователите заявяват, че заплахата демонстрира високо ниво на ангажираност към наблюдението на своите цели, като се стреми да разпознае най-ефективните методи за манипулация и внедряване на зловреден софтуер. Нещо повече, CharmingKitten се откроява сред другите участници в заплахите чрез последователно стартиране на множество кампании и разполагане на човешки оператори в подкрепа на техните текущи инициативи.
