درب پشتی BASICSTAR
بازیگر تهدید کننده Charming Kitten که از ایران سرچشمه می گیرد و همچنین با نام های APT35، CharmingCypress، Mint Sandstorm، TA453 و Yellow Garuda نیز شناخته می شود، اخیراً با یک سری حملات جدید مرتبط شده است که کارشناسان سیاست خاورمیانه را هدف قرار می دهند. این حملات شامل استفاده از یک درب پشتی جدید به نام BASICSTAR است که از طریق ایجاد یک پورتال وبینار تقلبی مستقر می شود.
Charming Kitten سابقه ای در انجام کمپین های مهندسی اجتماعی متنوع، به کارگیری تاکتیک هایی دارد که به طور گسترده نهادهای مختلف، از جمله اتاق های فکر، سازمان های غیردولتی (NGO) و روزنامه نگاران را هدف قرار می دهد.
فهرست مطالب
مجرمان سایبری از تاکتیک های مختلف فیشینگ برای به خطر انداختن قربانیان استفاده می کنند
CharmingKitten اغلب از تکنیک های مهندسی اجتماعی غیر متعارف استفاده می کند، مانند درگیر کردن اهداف در مکالمات طولانی ایمیل قبل از معرفی پیوندهایی به محتوای ناامن. مایکروسافت فاش کرده است که افراد قابل توجهی که در امور خاورمیانه کار می کنند توسط این عامل تهدید برای انتشار بدافزارهایی مانند MischiefTut و MediaPl (همچنین به عنوان EYEGLASS شناخته می شود) که برای استخراج اطلاعات حساس از میزبان های در معرض خطر طراحی شده اند، انتخاب شده اند.
این گروه که گمان می رود با سپاه پاسداران انقلاب اسلامی ایران (سپاه پاسداران انقلاب اسلامی) مرتبط است، درهای پشتی مختلفی از جمله PowerLess، BellaCiao، POWERSTAR (معروف به GorjolEcho) و NokNok را در طول سال گذشته توزیع کرده است. این امر بر تعهد آنها به پافشاری در حملات سایبری خود، تطبیق تاکتیکها و روشها با وجود افشای عمومی تأکید میکند.
مهاجمان به عنوان نهادهای قانونی برای فریب قربانیان ظاهر می شوند
حملات فیشینگ تحت بررسی شامل اپراتورهای Charming Kitten بود که برای شروع و ایجاد اعتماد با اهداف خود، ظاهر مؤسسه بینالمللی راسانا برای مطالعات ایرانی (IIIS) را به کار گرفتند.
این تلاشهای فیشینگ برای استفاده از حسابهای ایمیل به خطر افتاده از مخاطبین قانونی، و همچنین چندین حساب ایمیل تحت کنترل عامل تهدید قابل توجه است، عملی که به عنوان جعل هویت چندشخصی (MPI) شناخته میشود.
توالیهای حمله معمولاً شامل آرشیوهای RAR حاوی فایلهای LNK به عنوان گام اولیه برای انتشار بدافزار هستند. این پیامها، اهداف بالقوه را تشویق میکنند تا در یک وبینار تقلبی در مورد موضوعات متناسب با علایقشان شرکت کنند. در یکی از سناریوهای آلودگی چند مرحله ای مشاهده شده، اسکریپت های بارگیری کننده پاورشل، BASICSTAR و KORKULOADER، مستقر شدند.
بدافزار BASICSTAR اطلاعات حساس را از سیستم های در معرض خطر جمع آوری می کند
BASICSTAR که به عنوان یک بدافزار Visual Basic Script (VBS) شناخته میشود، قابلیتهایی مانند جمعآوری اطلاعات اساسی سیستم، اجرای دستورات از راه دور از یک سرور Command-and-Control (C2) و دانلود و ارائه یک فایل PDF فریبنده را نشان میدهد.
علاوه بر این، برخی از حملات فیشینگ به صورت استراتژیک برای ارائه درب های پشتی متمایز بر اساس سیستم عامل دستگاه مورد نظر طراحی شده اند. قربانیانی که از ویندوز استفاده می کنند از طریق POWERLESS در معرض مصالحه قرار می گیرند. در همان زمان، کاربران macOS اپل در معرض یک زنجیره عفونت قرار می گیرند که در NokNok به اوج خود می رسد، که توسط یک برنامه کاربردی VPN حاوی بدافزار تعبیه شده تسهیل می شود.
محققان بیان میکنند که عامل تهدید سطح بالایی از تعهد را برای نظارت بر اهداف خود نشان میدهد، با هدف تشخیص مؤثرترین روشهای دستکاری و استقرار بدافزار. علاوه بر این، CharmingKitten با راهاندازی مداوم کمپینهای متعدد و استقرار اپراتورهای انسانی برای حمایت از ابتکارات در حال انجام آنها، در میان دیگر بازیگران تهدید برجسته است.