BASICSTAR takaovi
Iranista kotoisin oleva uhkanäyttelijä Charming Kitten, joka tunnetaan myös nimellä APT35, CharmingCypress, Mint Sandstorm, TA453 ja Yellow Garuda, on äskettäin yhdistetty useisiin uusiin Lähi-idän politiikan asiantuntijoihin kohdistuviin hyökkäyksiin. Nämä hyökkäykset sisältävät uuden BASICSTAR-nimisen takaoven käytön, joka otetaan käyttöön petollisen webinaariportaalin luomisen kautta.
Charming Kittenillä on kokemusta erilaisista sosiaalisen suunnittelun kampanjoista, joissa käytetään taktiikoita, jotka kohdistuvat laajasti eri tahoille, mukaan lukien ajatushautomot, kansalaisjärjestöt ja toimittajat.
Sisällysluettelo
Kyberrikolliset käyttävät erilaisia phishing-taktiikoita vaarantaakseen uhrit
CharmingKitten käyttää usein epätavanomaisia sosiaalisen suunnittelun tekniikoita, kuten kohteiden ottamista mukaan pitkiin sähköpostikeskusteluihin ennen kuin se lisää linkkejä vaaralliseen sisältöön. Microsoft on paljastanut, että tämä uhkatoimija on valinnut Lähi-idän asioiden parissa työskenteleviä merkittäviä henkilöitä levittämään haittaohjelmia, kuten MischiefTut ja MediaPl (tunnetaan myös nimellä EYEGLASS), jotka on suunniteltu poimimaan arkaluonteisia tietoja vaarantuneista isännistä.
Ryhmä, jonka uskotaan liittyvän Iranin Islamic Revolutionary Guard Corpsiin (IRGC), on jakanut useita muita takaovia, mukaan lukien PowerLess, BellaCiao, POWERSTAR (alias GorjolEcho) ja NokNok , viimeisen vuoden aikana. Tämä korostaa heidän sitoutumistaan jatkaa kyberhyökkäyksiään ja mukauttaa taktiikoita ja menetelmiä julkisuudesta huolimatta.
Hyökkääjät esiintyvät laillisina tahoina huijatakseen uhreja
Tarkastelun kohteena olevat tietojenkalasteluhyökkäykset liittyivät siihen, että Charming Kitten -operaattorit omaksuivat Rasanah International Institute for Iranian Studiesin (IIIS) hahmon aloittaakseen ja luodakseen luottamuksen kohteidensa kanssa.
Nämä tietojenkalasteluyritykset ovat tunnettuja siitä, että käytetään laillisten yhteyshenkilöiden vaarantuneita sähköpostitilejä sekä useita uhkatekijän hallinnassa olevia sähköpostitilejä, mikä tunnetaan nimellä Multi-Persona Impersonation (MPI).
Hyökkäyssarjat sisältävät tyypillisesti RAR-arkistoja, jotka sisältävät LNK-tiedostoja, ensimmäisenä vaiheena haittaohjelmien levittämisessä. Viestit rohkaisevat mahdollisia kohteita osallistumaan vilpilliseen webinaariin heidän kiinnostuksen kohteidensa mukaan räätälöidyistä aiheista. Yhdessä havaitussa monivaiheisessa infektioskenaariossa otettiin käyttöön PowerShell-latausohjelman BASICSTAR- ja KORKULOADER-skriptit.
BASICSTAR-haittaohjelma kerää arkaluontoisia tietoja vaarantuneista järjestelmistä
BASICSTAR, joka tunnistetaan Visual Basic Script (VBS) -haittaohjelmaksi, sisältää ominaisuuksia, kuten perusjärjestelmän tietojen keräämisen, etäkomentojen suorittamisen Command-and-Control (C2) -palvelimelta sekä houkutus-PDF-tiedoston lataamisen ja esittämisen.
Lisäksi tietyt tietojenkalasteluhyökkäykset on strategisesti suunniteltu tarjoamaan erillisiä takaovia kohteena olevan koneen käyttöjärjestelmän perusteella. Windowsia käyttävät uhrit joutuvat kompromisseihin POWERLESSin kautta. Samaan aikaan Apple macOS -käyttäjät altistuvat NokNokiin huipentuvalle infektioketjulle, jota helpottaa toimiva VPN-sovellus, joka sisältää upotettuja haittaohjelmia.
Tutkijat toteavat, että uhkatekijä osoittaa korkeatasoista sitoutumista kohteidensa valvontaan ja pyrkii tunnistamaan tehokkaimmat manipulointi- ja haittaohjelmien käyttöönoton menetelmät. Lisäksi CharmingKitten erottuu muista uhkatoimijoista käynnistämällä jatkuvasti useita kampanjoita ja ottamalla käyttöön ihmistoimijoita tukemaan heidän käynnissä olevia aloitteitaan.
