Πίσω πόρτα BASICSTAR
Ο ηθοποιός απειλών Charming Kitten, με καταγωγή από το Ιράν και γνωστός επίσης ως APT35, CharmingCypress, Mint Sandstorm, TA453 και Yellow Garuda, συνδέθηκε πρόσφατα με μια σειρά από νέες επιθέσεις που στοχεύουν ειδικούς της πολιτικής της Μέσης Ανατολής. Αυτές οι επιθέσεις περιλαμβάνουν τη χρήση μιας νέας κερκόπορτας που ονομάζεται BASICSTAR, η οποία αναπτύσσεται μέσω της δημιουργίας μιας δόλιας πύλης διαδικτυακού σεμιναρίου.
Το Charming Kitten έχει ιστορικό διεξαγωγής ποικίλων εκστρατειών κοινωνικής μηχανικής, χρησιμοποιώντας τακτικές που στοχεύουν εκτενώς διάφορες οντότητες, συμπεριλαμβανομένων δεξαμενών σκέψης, μη κυβερνητικών οργανώσεων (ΜΚΟ) και δημοσιογράφων.
Πίνακας περιεχομένων
Οι εγκληματίες του κυβερνοχώρου χρησιμοποιούν διάφορες τακτικές phishing για να συμβιβάσουν τα θύματα
Το CharmingKitten χρησιμοποιεί συχνά ασυνήθιστες τεχνικές κοινωνικής μηχανικής, όπως η εμπλοκή στόχων σε παρατεταμένες συνομιλίες μέσω email πριν από την εισαγωγή συνδέσμων προς μη ασφαλές περιεχόμενο. Η Microsoft αποκάλυψε ότι αξιοσημείωτα άτομα που εργάζονται σε υποθέσεις της Μέσης Ανατολής έχουν ξεχωρίσει από αυτόν τον παράγοντα απειλών για τη διάδοση κακόβουλου λογισμικού όπως το MischiefTut και το MediaPl (γνωστό και ως EYEGLASS), σχεδιασμένο να εξάγει ευαίσθητες πληροφορίες από παραβιασμένους κεντρικούς υπολογιστές.
Η ομάδα, που πιστεύεται ότι συνδέεται με το Σώμα των Φρουρών της Ισλαμικής Επανάστασης του Ιράν (IRGC), έχει διανείμει διάφορες άλλες κερκόπορτες, συμπεριλαμβανομένων των PowerLess, BellaCiao, POWERSTAR (γνωστός και ως GorjolEcho) και NokNok , τον περασμένο χρόνο. Αυτό υπογραμμίζει τη δέσμευσή τους να επιμείνουν στις επιθέσεις στον κυβερνοχώρο, προσαρμόζοντας τακτικές και μεθόδους παρά το γεγονός ότι εκτίθενται δημόσια.
Οι επιτιθέμενοι παρουσιάζονται ως νόμιμες οντότητες για να εξαπατήσουν τα θύματα
Οι επιθέσεις phishing υπό έλεγχο περιλάμβαναν χειριστές Charming Kitten που υιοθέτησαν το πρόσχημα του Διεθνούς Ινστιτούτου Ιρανικών Σπουδών Rasanah (IIIS) για να ξεκινήσουν και να δημιουργήσουν εμπιστοσύνη με τους στόχους τους.
Αυτές οι απόπειρες ηλεκτρονικού ψαρέματος είναι αξιοσημείωτες για τη χρήση παραβιασμένων λογαριασμών email από νόμιμες επαφές, καθώς και πολλαπλών λογαριασμών email υπό τον έλεγχο του παράγοντα απειλής, μια πρακτική γνωστή ως πλαστοπροσωπία πολλαπλών προσώπων (MPI).
Οι ακολουθίες επίθεσης συνήθως περιλαμβάνουν αρχεία RAR που περιέχουν αρχεία LNK ως το αρχικό βήμα για τη διάδοση κακόβουλου λογισμικού. Τα μηνύματα ενθαρρύνουν πιθανούς στόχους να συμμετάσχουν σε ένα δόλιο διαδικτυακό σεμινάριο για θέματα προσαρμοσμένα στα ενδιαφέροντά τους. Σε ένα παρατηρούμενο σενάριο μόλυνσης πολλαπλών σταδίων, αναπτύχθηκαν σενάρια λήψης PowerShell BASICSTAR και KORKULOADER.
Το κακόβουλο λογισμικό BASICSTAR συλλέγει ευαίσθητες πληροφορίες από παραβιασμένα συστήματα
Το BASICSTAR, που προσδιορίζεται ως κακόβουλο λογισμικό Visual Basic Script (VBS), παρουσιάζει δυνατότητες όπως η συλλογή βασικών πληροφοριών συστήματος, η εκτέλεση απομακρυσμένων εντολών από έναν διακομιστή Command-and-Control (C2) και η λήψη και η παρουσίαση ενός αρχείου PDF decoy.
Επιπλέον, ορισμένες επιθέσεις phishing είναι στρατηγικά σχεδιασμένες για να παρέχουν ξεχωριστές κερκόπορτες με βάση το λειτουργικό σύστημα του στοχευόμενου μηχανήματος. Τα θύματα που χρησιμοποιούν Windows υπόκεινται σε συμβιβασμούς μέσω του POWERLESS. Ταυτόχρονα, οι χρήστες του Apple macOS εκτίθενται σε μια αλυσίδα μόλυνσης που κορυφώνεται στο NokNok, η οποία διευκολύνεται από μια λειτουργική εφαρμογή VPN που περιέχει ενσωματωμένο κακόβουλο λογισμικό.
Οι ερευνητές δηλώνουν ότι ο παράγοντας της απειλής επιδεικνύει υψηλό επίπεδο δέσμευσης στην επιτήρηση των στόχων τους, με στόχο να διακρίνει τις πιο αποτελεσματικές μεθόδους χειραγώγησης και ανάπτυξης κακόβουλου λογισμικού. Επιπλέον, το CharmingKitten ξεχωρίζει μεταξύ άλλων παραγόντων απειλών, ξεκινώντας με συνέπεια πολυάριθμες εκστρατείες και αναπτύσσοντας ανθρώπινους χειριστές για να υποστηρίξουν τις συνεχιζόμενες πρωτοβουλίες τους.
