BASICSTAR Backdoor
Glumac prijetnje Charming Kitten, podrijetlom iz Irana, poznat i kao APT35, CharmingCypress, Mint Sandstorm, TA453 i Yellow Garuda, nedavno je povezan s nizom novih napada usmjerenih na stručnjake za politiku Bliskog istoka. Ovi napadi uključuju korištenje novog backdoor-a pod nazivom BASICSTAR, koji se postavlja kroz stvaranje lažnog portala za webinar.
Charming Kitten ima iskustvo u provođenju različitih kampanja društvenog inženjeringa, koristeći taktike koje su opsežno usmjerene na različite subjekte, uključujući think tankove, nevladine organizacije (NVO) i novinare.
Sadržaj
Kibernetički kriminalci koriste razne taktike krađe identiteta kako bi kompromitirali žrtve
CharmingKitten često koristi nekonvencionalne tehnike društvenog inženjeringa, kao što je uključivanje meta u dugotrajne razgovore putem e-pošte prije uvođenja poveznica na nesigurni sadržaj. Microsoft je otkrio da je ovaj akter prijetnje izdvojio značajne pojedince koji rade na bliskoistočnim poslovima za širenje zlonamjernog softvera poput MischiefTut i MediaPl (također poznatog kao EYEGLASS), dizajniranog za izvlačenje osjetljivih informacija s kompromitiranih računala.
Grupa, za koju se vjeruje da je povezana s iranskom Korpusom čuvara islamske revolucije (IRGC), distribuirala je razne druge backdoorse, uključujući PowerLess, BellaCiao, POWERSTAR (aka GorjolEcho) i NokNok tijekom prošle godine. To naglašava njihovu predanost da ustraju u svojim cyber napadima, prilagođavajući taktike i metode unatoč tome što su javno razotkriveni.
Napadači se predstavljaju kao legitimni subjekti kako bi prevarili žrtve
Proučavani phishing napadi uključivali su operatere Charming Kitten koji su prihvatili masku Rasanah International Institute for Iranian Studies (IIIS) kako bi inicirali i uspostavili povjerenje sa svojim metama.
Ovi pokušaji krađe identiteta poznati su po korištenju kompromitiranih računa e-pošte od legitimnih kontakata, kao i višestrukih računa e-pošte pod kontrolom aktera prijetnje, prakse poznate kao lažno predstavljanje više osoba (MPI).
Sekvence napada obično uključuju RAR arhive koje sadrže LNK datoteke kao početni korak za širenje zlonamjernog softvera. Poruke potiču potencijalne mete na sudjelovanje u lažnom webinaru o temama prilagođenim njihovim interesima. U jednom uočenom višefaznom scenariju zaraze, BASICSTAR i KORKULOADER, PowerShell skripte za preuzimanje, postavljene su.
Zlonamjerni softver BASICSTAR prikuplja osjetljive podatke iz kompromitiranih sustava
BASICSTAR, identificiran kao Visual Basic Script (VBS) zlonamjerni softver, pokazuje mogućnosti kao što su prikupljanje osnovnih informacija o sustavu, izvršavanje daljinskih naredbi s Command-and-Control (C2) poslužitelja i preuzimanje i predstavljanje lažne PDF datoteke.
Nadalje, određeni phishing napadi strateški su osmišljeni za isporuku različitih stražnjih vrata na temelju operativnog sustava ciljanog stroja. Žrtve koje koriste Windows podvrgnute su kompromisu putem POWERLESS. U isto vrijeme, korisnici Apple macOS-a izloženi su lancu zaraze koji kulminira u NokNok-u, uz pomoć funkcionalne VPN aplikacije koja sadrži ugrađeni zlonamjerni softver.
Istraživači navode da akter prijetnje pokazuje visoku razinu predanosti nadziranju svojih meta, s ciljem otkrivanja najučinkovitijih metoda manipulacije i postavljanja zlonamjernog softvera. Štoviše, CharmingKitten ističe se među ostalim akterima prijetnji dosljednim pokretanjem brojnih kampanja i angažiranjem ljudskih operatera za podršku njihovim tekućim inicijativama.
