BASICSTAR Backdoor
Hrozný herec Charming Kitten, pocházející z Íránu a známý také jako APT35, CharmingCypress, Mint Sandstorm, TA453 a Yellow Garuda, byl nedávno spojován se sérií nových útoků zaměřených na experty na politiku Blízkého východu. Tyto útoky zahrnují použití nového backdoor s názvem BASICSTAR, který je nasazen prostřednictvím vytvoření podvodného portálu webinářů.
Charming Kitten má zkušenosti s prováděním různých kampaní sociálního inženýrství, které využívají taktiky, které se široce zaměřují na různé subjekty, včetně think-tanků, nevládních organizací (NGO) a novinářů.
Obsah
Kyberzločinci používají různé phishingové taktiky ke kompromitaci obětí
CharmingKitten často využívá nekonvenční techniky sociálního inženýrství, jako je zapojení cílů do dlouhých e-mailových konverzací před uvedením odkazů na nebezpečný obsah. Společnost Microsoft odhalila, že tento aktér hrozby vybral pozoruhodné osoby pracující na záležitostech Blízkého východu, aby šířili malware jako MischiefTut a MediaPl (také známý jako EYEGLASS), určený k získávání citlivých informací z napadených hostitelů.
Skupina, o níž se věří, že je spojena s íránskými islámskými revolučními gardami (IRGC), v uplynulém roce distribuovala různá další zadní vrátka, včetně PowerLess, BellaCiao, POWERSTAR (aka GorjolEcho) a NokNok . To podtrhuje jejich odhodlání vytrvat ve svých kybernetických útocích a přizpůsobovat taktiku a metody navzdory tomu, že jsou veřejně odhaleni.
Útočníci se vydávají za legitimní subjekty, které mají oklamat oběti
Prověřované phishingové útoky zahrnovaly operátory Charming Kitten, kteří přijali masku Rasanah International Institute for Iranian Studies (IIIS), aby iniciovali a nastolili důvěru u svých cílů.
Tyto pokusy o phishing jsou pozoruhodné tím, že používají kompromitované e-mailové účty od legitimních kontaktů a také více e-mailových účtů pod kontrolou aktéra hrozby, což je praxe známá jako Multi-Persona Impersonation (MPI).
Sekvence útoků obvykle zahrnují archivy RAR obsahující soubory LNK jako počáteční krok k šíření malwaru. Zprávy povzbuzují potenciální cíle k účasti na podvodném webináři na témata přizpůsobená jejich zájmům. V jednom pozorovaném scénáři vícefázové infekce byly nasazeny BASICSTAR a KORKULOADER, skripty pro stahování PowerShell.
Malware BASICSTAR shromažďuje citlivé informace z kompromitovaných systémů
BASICSTAR, identifikovaný jako malware Visual Basic Script (VBS), vykazuje schopnosti, jako je shromažďování základních informací o systému, provádění vzdálených příkazů ze serveru Command-and-Control (C2) a stahování a prezentace návnadového souboru PDF.
Některé phishingové útoky jsou navíc strategicky navrženy tak, aby poskytovaly odlišná zadní vrátka na základě operačního systému cílového počítače. Oběti používající Windows jsou vystaveny kompromitaci prostřednictvím POWERLESS. Uživatelé Apple macOS jsou zároveň vystaveni infekčnímu řetězci, který vyvrcholí NokNok, a to díky funkční VPN aplikaci obsahující vestavěný malware.
Výzkumníci uvádějí, že aktér hrozby prokazuje vysokou úroveň odhodlání sledovat své cíle s cílem rozpoznat nejúčinnější metody manipulace a rozmístění malwaru. Kromě toho CharmingKitten vyniká mezi ostatními aktéry hrozeb tím, že neustále spouští četné kampaně a nasazuje lidské operátory na podporu jejich probíhajících iniciativ.
