BASICSTAR पछाडिको ढोका
इरानबाट उत्पत्ति भएको र APT35, CharmingCypress, Mint Sandstorm, TA453, र Yellow Garuda भनेर चिनिने खतरा अभिनेता Charming Kitten, हालसालै मध्य पूर्व नीति विशेषज्ञहरूलाई लक्षित गर्ने नयाँ आक्रमणहरूको श्रृंखलासँग जोडिएको छ। यी आक्रमणहरूमा BASICSTAR नामको नयाँ ब्याकडोरको प्रयोग समावेश छ, जुन जालसाजी वेबिनार पोर्टलको निर्माण मार्फत प्रयोग गरिन्छ।
Charming Kitten सँग विभिन्न सामाजिक ईन्जिनियरिङ् अभियानहरू सञ्चालन गर्ने, थिंक ट्याङ्क, गैर-सरकारी संस्थाहरू (NGOs), र पत्रकारहरू लगायत विभिन्न निकायहरूलाई व्यापक रूपमा लक्षित गर्ने रणनीतिहरू प्रयोग गर्ने ट्र्याक रेकर्ड छ।
सामग्रीको तालिका
साइबर अपराधीहरूले पीडितहरूलाई सम्झौता गर्न विभिन्न फिसिङ युक्तिहरू प्रयोग गर्छन्
CharmingKitten प्रायः अपरंपरागत सामाजिक-इन्जिनियरिङ प्रविधिहरू प्रयोग गर्दछ, जस्तै असुरक्षित सामग्रीको लिङ्कहरू परिचय गर्नु अघि लामो इमेल कुराकानीहरूमा संलग्न लक्ष्यहरू। माइक्रोसफ्टले खुलासा गरेको छ कि मध्य पूर्वी मामिलाहरूमा काम गर्ने उल्लेखनीय व्यक्तिहरूलाई यस धम्की अभिनेताले MischiefTut र MediaPl (जसलाई EYEGLASS पनि भनिन्छ) जस्ता मालवेयरहरू फैलाउनको लागि छुटेको छ, जसलाई सम्झौता गरिएका होस्टहरूबाट संवेदनशील जानकारी निकाल्न डिजाइन गरिएको छ।
इरानको इस्लामिक रिभोलुसनरी गार्ड कोर्प्स (IRGC) सँग सम्बन्धित रहेको विश्वास गरिएको समूहले गत वर्षदेखि PowerLess, BellaCiao, POWERSTAR (उर्फ GorjolEcho), र NokNok लगायत अन्य विभिन्न ब्याकडोरहरू वितरण गरेको छ। यसले सार्वजनिक रूपमा पर्दाफास भए तापनि तिनीहरूको साइबर हमलाहरू, रणनीतिहरू र विधिहरू अनुकूलन गर्ने तिनीहरूको प्रतिबद्धतालाई जोड दिन्छ।
आक्रमणकारीहरूले पीडितहरूलाई छल गर्न वैध संस्थाहरूको रूपमा प्रस्तुत गर्छन्
छानबिन अन्तर्गत फिसिङ आक्रमणहरूमा आकर्षक किटेन अपरेटरहरूले रसनाह इन्टरनेशनल इन्स्टिच्युट फर इरानी स्टडीज (IIIS) को भेष अपनाउने र उनीहरूको लक्ष्यहरूसँग विश्वास स्थापित गर्न संलग्न थिए।
यी फिसिङ प्रयासहरू वैध सम्पर्कहरूबाट सम्झौता गरिएको इमेल खाताहरू प्रयोग गर्नका लागि उल्लेखनीय छन्, साथै धम्की दिने अभिनेताको नियन्त्रणमा रहेको बहु इमेल खाताहरू, बहु-व्यक्ति प्रतिरूपण (MPI) भनेर चिनिने अभ्यास।
आक्रमण अनुक्रमहरूमा सामान्यतया मालवेयर फैलाउन प्रारम्भिक चरणको रूपमा LNK फाइलहरू समावेश गर्ने RAR अभिलेखहरू समावेश हुन्छन्। सन्देशहरूले सम्भावित लक्ष्यहरूलाई तिनीहरूको रुचि अनुरूप विषयहरूमा जालसाजी वेबिनारमा भाग लिन प्रोत्साहित गर्दछ। एउटा अवलोकन गरिएको बहु-चरण संक्रमण परिदृश्यमा, बेसिकस्टार र कोर्कुलोडर, पावरशेल डाउनलोडर स्क्रिप्टहरू, तैनात गरिएको थियो।
BASICSTAR मालवेयरले सम्झौता प्रणालीहरूबाट संवेदनशील जानकारी सङ्कलन गर्दछ
BASICSTAR, भिजुअल बेसिक स्क्रिप्ट (VBS) मालवेयरको रूपमा चिनिन्छ, मौलिक प्रणाली जानकारी सङ्कलन गर्ने, कमाण्ड-एन्ड-कन्ट्रोल (C2) सर्भरबाट रिमोट आदेशहरू कार्यान्वयन गर्ने र एक decoy PDF फाइल डाउनलोड गर्ने र प्रस्तुत गर्ने जस्ता क्षमताहरू प्रदर्शन गर्दछ।
यसबाहेक, निश्चित फिसिङ आक्रमणहरू रणनीतिक रूपमा लक्षित मेसिनको अपरेटिङ सिस्टममा आधारित फरक ब्याकडोरहरू डेलिभर गर्न डिजाइन गरिएको हो। विन्डोज प्रयोग गर्ने पीडितहरू पावरलेस मार्फत सम्झौताको अधीनमा छन्। एकै समयमा, Apple macOS प्रयोगकर्ताहरू NokNok मा परिणत हुने संक्रमण श्रृंखलाको सम्पर्कमा छन्, इम्बेडेड मालवेयर भएको कार्यात्मक VPN एप्लिकेसनद्वारा सुविधा।
अनुसन्धानकर्ताहरू भन्छन् कि खतरा अभिनेताले हेरफेर र मालवेयर डिप्लोइमेन्टको सबैभन्दा प्रभावकारी तरिकाहरू पत्ता लगाउने उद्देश्यले उनीहरूको लक्ष्यहरूको सर्वेक्षण गर्न उच्च स्तरको प्रतिबद्धता प्रदर्शन गर्दछ। यसबाहेक, CharmingKitten लगातार धेरै अभियानहरू सुरु गरेर र तिनीहरूको चलिरहेको पहलहरूलाई समर्थन गर्न मानव अपरेटरहरू तैनात गरेर अन्य खतरा अभिनेताहरू बीच बाहिर खडा छ।
