BASICSTAR bakdør
Trusselskuespilleren Charming Kitten, som kommer fra Iran og også kjent som APT35, CharmingCypress, Mint Sandstorm, TA453 og Yellow Garuda, har nylig blitt koblet til en serie nye angrep rettet mot eksperter i Midtøsten-politikken. Disse angrepene involverer bruk av en ny bakdør kalt BASICSTAR, som distribueres gjennom opprettelsen av en uredelig webinarportal.
Charming Kitten har en merittliste med å gjennomføre ulike sosiale ingeniørkampanjer, ved å bruke taktikker som i stor grad retter seg mot ulike enheter, inkludert tenketanker, ikke-statlige organisasjoner (NGOer) og journalister.
Innholdsfortegnelse
Nettkriminelle bruker ulike phishing-taktikker for å kompromittere ofre
CharmingKitten bruker ofte ukonvensjonelle sosiale ingeniørteknikker, for eksempel å engasjere mål i langvarige e-postsamtaler før de introduserer lenker til usikkert innhold. Microsoft har avslørt at bemerkelsesverdige personer som jobber med Midtøsten-saker har blitt skilt ut av denne trusselaktøren for å spre skadelig programvare som MischiefTut og MediaPl (også kjent som EYEGLASS), designet for å trekke ut sensitiv informasjon fra kompromitterte verter.
Gruppen, som antas å være assosiert med Irans islamske revolusjonsgardekorps (IRGC), har distribuert forskjellige andre bakdører, inkludert PowerLess, BellaCiao, POWERSTAR (aka GorjolEcho) og NokNok , det siste året. Dette understreker deres forpliktelse til å fortsette i deres cyberangrep, tilpasse taktikk og metoder til tross for at de er offentlig avslørt.
Angripere poserer som legitime enheter for å lure ofre
Phishing-angrepene som ble undersøkt involverte Charming Kitten-operatører som tok dekselet til Rasanah International Institute for Iranian Studies (IIIS) for å sette i gang og etablere tillit til målene deres.
Disse phishing-forsøkene er kjent for å bruke kompromitterte e-postkontoer fra legitime kontakter, samt flere e-postkontoer under kontroll av trusselaktøren, en praksis kjent som Multi-Persona Impersonation (MPI).
Angrepssekvensene involverer vanligvis RAR-arkiver som inneholder LNK-filer som det første trinnet for å spre skadelig programvare. Meldingene oppfordrer potensielle mål til å delta i et uredelig webinar om emner som er skreddersydd for deres interesser. I ett observert flertrinns infeksjonsscenario ble BASICSTAR og KORKULOADER, PowerShell-nedlastingsskript, distribuert.
BASICSTAR skadelig programvare samler inn sensitiv informasjon fra kompromitterte systemer
BASICSTAR, identifisert som en Visual Basic Script (VBS) skadelig programvare, viser muligheter som å samle grunnleggende systeminformasjon, utføre eksterne kommandoer fra en Command-and-Control (C2)-server og laste ned og presentere en lokke-PDF-fil.
Videre er visse phishing-angrep strategisk utformet for å gi distinkte bakdører basert på den målrettede maskinens operativsystem. Ofre som bruker Windows blir utsatt for kompromittering gjennom POWERLESS. Samtidig blir Apple macOS-brukere utsatt for en infeksjonskjede som kulminerer med NokNok, tilrettelagt av en funksjonell VPN-applikasjon som inneholder innebygd skadelig programvare.
Forskere uttaler at trusselaktøren viser et høyt nivå av forpliktelse til å overvåke målene deres, med sikte på å finne de mest effektive metodene for manipulasjon og distribusjon av skadelig programvare. Dessuten skiller CharmingKitten seg ut blant andre trusselaktører ved å konsekvent lansere en rekke kampanjer og distribuere menneskelige operatører for å støtte deres pågående initiativer.
