درب پشتی BASICSTAR

بازیگر تهدید کننده Charming Kitten که از ایران سرچشمه می گیرد و همچنین با نام های APT35، CharmingCypress، Mint Sandstorm، TA453 و Yellow Garuda نیز شناخته می شود، اخیراً با یک سری حملات جدید مرتبط شده است که کارشناسان سیاست خاورمیانه را هدف قرار می دهند. این حملات شامل استفاده از یک درب پشتی جدید به نام BASICSTAR است که از طریق ایجاد یک پورتال وبینار تقلبی مستقر می شود.

Charming Kitten سابقه ای در انجام کمپین های مهندسی اجتماعی متنوع، به کارگیری تاکتیک هایی دارد که به طور گسترده نهادهای مختلف، از جمله اتاق های فکر، سازمان های غیردولتی (NGO) و روزنامه نگاران را هدف قرار می دهد.

مجرمان سایبری از تاکتیک های مختلف فیشینگ برای به خطر انداختن قربانیان استفاده می کنند

CharmingKitten اغلب از تکنیک های مهندسی اجتماعی غیر متعارف استفاده می کند، مانند درگیر کردن اهداف در مکالمات طولانی ایمیل قبل از معرفی پیوندهایی به محتوای ناامن. مایکروسافت فاش کرده است که افراد قابل توجهی که در امور خاورمیانه کار می کنند توسط این عامل تهدید برای انتشار بدافزارهایی مانند MischiefTut و MediaPl (همچنین به عنوان EYEGLASS شناخته می شود) که برای استخراج اطلاعات حساس از میزبان های در معرض خطر طراحی شده اند، انتخاب شده اند.

این گروه که گمان می رود با سپاه پاسداران انقلاب اسلامی ایران (سپاه پاسداران انقلاب اسلامی) مرتبط است، درهای پشتی مختلفی از جمله PowerLess، BellaCiao، POWERSTAR (معروف به GorjolEcho) و NokNok را در طول سال گذشته توزیع کرده است. این امر بر تعهد آنها به پافشاری در حملات سایبری خود، تطبیق تاکتیک‌ها و روش‌ها با وجود افشای عمومی تأکید می‌کند.

مهاجمان به عنوان نهادهای قانونی برای فریب قربانیان ظاهر می شوند

حملات فیشینگ تحت بررسی شامل اپراتورهای Charming Kitten بود که برای شروع و ایجاد اعتماد با اهداف خود، ظاهر مؤسسه بین‌المللی راسانا برای مطالعات ایرانی (IIIS) را به کار گرفتند.

این تلاش‌های فیشینگ برای استفاده از حساب‌های ایمیل به خطر افتاده از مخاطبین قانونی، و همچنین چندین حساب ایمیل تحت کنترل عامل تهدید قابل توجه است، عملی که به عنوان جعل هویت چندشخصی (MPI) شناخته می‌شود.

توالی‌های حمله معمولاً شامل آرشیوهای RAR حاوی فایل‌های LNK به عنوان گام اولیه برای انتشار بدافزار هستند. این پیام‌ها، اهداف بالقوه را تشویق می‌کنند تا در یک وبینار تقلبی در مورد موضوعات متناسب با علایقشان شرکت کنند. در یکی از سناریوهای آلودگی چند مرحله ای مشاهده شده، اسکریپت های بارگیری کننده پاورشل، BASICSTAR و KORKULOADER، مستقر شدند.

بدافزار BASICSTAR اطلاعات حساس را از سیستم های در معرض خطر جمع آوری می کند

BASICSTAR که به عنوان یک بدافزار Visual Basic Script (VBS) شناخته می‌شود، قابلیت‌هایی مانند جمع‌آوری اطلاعات اساسی سیستم، اجرای دستورات از راه دور از یک سرور Command-and-Control (C2) و دانلود و ارائه یک فایل PDF فریبنده را نشان می‌دهد.

علاوه بر این، برخی از حملات فیشینگ به صورت استراتژیک برای ارائه درب های پشتی متمایز بر اساس سیستم عامل دستگاه مورد نظر طراحی شده اند. قربانیانی که از ویندوز استفاده می کنند از طریق POWERLESS در معرض مصالحه قرار می گیرند. در همان زمان، کاربران macOS اپل در معرض یک زنجیره عفونت قرار می گیرند که در NokNok به اوج خود می رسد، که توسط یک برنامه کاربردی VPN حاوی بدافزار تعبیه شده تسهیل می شود.

محققان بیان می‌کنند که عامل تهدید سطح بالایی از تعهد را برای نظارت بر اهداف خود نشان می‌دهد، با هدف تشخیص مؤثرترین روش‌های دستکاری و استقرار بدافزار. علاوه بر این، CharmingKitten با راه‌اندازی مداوم کمپین‌های متعدد و استقرار اپراتورهای انسانی برای حمایت از ابتکارات در حال انجام آنها، در میان دیگر بازیگران تهدید برجسته است.