BASICSTAR Backdoor

이란 출신의 위협 행위자 Charming Kitten은 APT35, CharmingCypress, Mint Sandstorm, TA453, Yellow Garuda로도 알려져 있으며 최근 중동 정책 전문가를 표적으로 삼은 일련의 새로운 공격과 연관되어 있습니다. 이러한 공격에는 사기성 웹 세미나 포털 생성을 통해 배포되는 BASICSTAR라는 새로운 백도어가 사용됩니다.

Charming Kitten은 싱크탱크, 비정부기구(NGO), 언론인 등 다양한 단체를 광범위하게 표적으로 삼는 전술을 사용하여 다양한 사회 공학 캠페인을 수행한 실적을 보유하고 있습니다.

사이버범죄자들은 피해자를 위협하기 위해 다양한 피싱 전략을 사용합니다.

CharmingKitten은 안전하지 않은 콘텐츠에 대한 링크를 소개하기 전에 장기간의 이메일 대화에서 대상을 참여시키는 것과 같은 색다른 사회 공학 기술을 자주 활용합니다. Microsoft는 손상된 호스트에서 중요한 정보를 추출하도록 설계된 MischiefTut 및 MediaPl(EYEGLASS라고도 함)과 같은 악성 코드를 유포하기 위해 중동 문제에 종사하는 주목할만한 개인이 이 위협 행위자에 의해 선발되었다고 밝혔습니다.

이란 이슬람혁명수비대(IRGC)와 연계된 것으로 추정되는 이 그룹은 지난 1년 동안 PowerLess, BellaCiao, POWERSTAR (일명 GorjolEcho), NokNok 등 다양한 백도어를 배포했습니다. 이는 공개적으로 노출되었음에도 불구하고 사이버 공격을 지속하고 전술과 방법을 조정하겠다는 그들의 의지를 강조합니다.

공격자는 피해자를 속이기 위해 합법적인 존재로 가장합니다.

조사 대상인 피싱 공격에는 Charming Kitten 운영자가 Rasanah International Institute for Iranian Studies(IIIS)를 사칭하여 대상과의 신뢰를 시작하고 구축하는 것이 포함되었습니다.

이러한 피싱 시도는 합법적인 연락처에서 손상된 이메일 계정을 사용하는 것뿐만 아니라 위협 행위자가 제어하는 여러 이메일 계정을 사용하는 것으로 유명합니다. 이는 MPI(Multi-Persona Impersonation)로 알려진 관행입니다.

공격 시퀀스에는 일반적으로 악성 코드를 유포하기 위한 초기 단계로 LNK 파일이 포함된 RAR 아카이브가 포함됩니다. 메시지는 잠재적인 대상이 자신의 관심 분야에 맞는 주제에 대한 사기성 웹 세미나에 참여하도록 장려합니다. 관찰된 다단계 감염 시나리오 중 하나에서는 PowerShell 다운로더 스크립트인 BASICSTAR 및 KORKULOADER가 배포되었습니다.

BASICSTAR 악성 코드는 손상된 시스템에서 민감한 정보를 수집합니다.

VBS(Visual Basic Script) 악성코드로 식별된 BASICSTAR는 기본 시스템 정보 수집, 명령 및 제어(C2) 서버에서 원격 명령 실행, 미끼 PDF 파일 다운로드 및 제공과 같은 기능을 나타냅니다.

또한 특정 피싱 공격은 대상 컴퓨터의 운영 체제를 기반으로 고유한 백도어를 제공하도록 전략적으로 설계되었습니다. Windows를 사용하는 피해자는 POWERLESS를 통해 손상될 수 있습니다. 동시에 Apple macOS 사용자는 내장된 악성 코드가 포함된 VPN 애플리케이션을 통해 NokNok으로 이어지는 감염 체인에 노출됩니다.

연구원들은 위협 행위자가 가장 효과적인 조작 및 악성 코드 배포 방법을 식별하는 것을 목표로 목표를 감시하려는 높은 수준의 노력을 보여주고 있다고 밝혔습니다. 또한 CharmingKitten은 지속적으로 수많은 캠페인을 시작하고 인간 운영자를 배치하여 진행 중인 이니셔티브를 지원함으로써 다른 위협 행위자들 사이에서 두각을 나타냅니다.