BASICSTAR Achterdeur
De bedreigingsacteur Charming Kitten, afkomstig uit Iran en ook bekend als APT35, CharmingCypress, Mint Sandstorm, TA453 en Yellow Garuda, is onlangs in verband gebracht met een reeks nieuwe aanvallen gericht op beleidsexperts uit het Midden-Oosten. Bij deze aanvallen wordt gebruik gemaakt van een nieuwe achterdeur genaamd BASICSTAR, die wordt ingezet via de creatie van een frauduleus webinarportaal.
Charming Kitten heeft een staat van dienst in het uitvoeren van diverse social engineering-campagnes, waarbij tactieken worden ingezet die zich uitgebreid richten op verschillende entiteiten, waaronder denktanks, niet-gouvernementele organisaties (NGO's) en journalisten.
Inhoudsopgave
Cybercriminelen gebruiken verschillende phishing-tactieken om slachtoffers te compromitteren
CharmingKitten maakt vaak gebruik van onconventionele social-engineeringtechnieken, zoals het betrekken van doelen bij langdurige e-mailgesprekken voordat links naar onveilige inhoud worden geïntroduceerd. Microsoft heeft onthuld dat opmerkelijke personen die zich bezighouden met zaken in het Midden-Oosten door deze bedreigingsacteur zijn uitgekozen om malware zoals MischiefTut en MediaPl (ook bekend als EYEGLASS) te verspreiden, ontworpen om gevoelige informatie uit gecompromitteerde hosts te halen.
De groep, vermoedelijk geassocieerd met de Iraanse Islamitische Revolutionaire Garde (IRGC), heeft het afgelopen jaar verschillende andere achterdeurtjes verspreid, waaronder PowerLess, BellaCiao, POWERSTAR (ook bekend als GorjolEcho) en NokNok . Dit onderstreept hun toewijding om door te gaan met hun cyberaanvallen en tactieken en methoden aan te passen, ondanks dat ze publiekelijk aan de kaak zijn gesteld.
Aanvallers doen zich voor als legitieme entiteiten om slachtoffers te misleiden
Bij de onderzochte phishing-aanvallen waren Charming Kitten-operators betrokken die de gedaante van het Rasanah International Institute for Iraanse Studies (IIIS) aannamen om vertrouwen bij hun doelwitten te initiëren en te vestigen.
Deze phishing-pogingen vallen op door het gebruik van gecompromitteerde e-mailaccounts van legitieme contacten, evenals meerdere e-mailaccounts onder controle van de bedreigingsacteur, een praktijk die bekend staat als Multi-Persona Impersonation (MPI).
Bij de aanvalssequenties zijn doorgaans RAR-archieven met LNK-bestanden betrokken als eerste stap om malware te verspreiden. De berichten moedigen potentiële doelwitten aan om deel te nemen aan een frauduleus webinar over onderwerpen die zijn afgestemd op hun interesses. In één waargenomen meerfasig infectiescenario werden BASICSTAR en KORKULOADER, PowerShell-downloaderscripts, ingezet.
De BASICSTAR-malware verzamelt gevoelige informatie van gecompromitteerde systemen
BASICSTAR, geïdentificeerd als een Visual Basic Script (VBS)-malware, vertoont mogelijkheden zoals het verzamelen van fundamentele systeeminformatie, het uitvoeren van externe opdrachten vanaf een Command-and-Control (C2)-server en het downloaden en presenteren van een lok-PDF-bestand.
Bovendien zijn bepaalde phishing-aanvallen strategisch ontworpen om verschillende achterdeurtjes te creëren op basis van het besturingssysteem van de beoogde machine. Slachtoffers die Windows gebruiken, worden via POWERLESS blootgesteld aan compromissen. Tegelijkertijd worden Apple macOS-gebruikers blootgesteld aan een infectieketen die culmineert in NokNok, mogelijk gemaakt door een functionele VPN-applicatie die ingebedde malware bevat.
Onderzoekers stellen dat de bedreigingsactoren blijk geven van een hoge mate van toewijding bij het in de gaten houden van hun doelwitten, met als doel de meest effectieve manipulatiemethoden en de inzet van malware te onderscheiden. Bovendien onderscheidt CharmingKitten zich van andere bedreigingsactoren door consequent talloze campagnes te lanceren en menselijke operators in te zetten om hun lopende initiatieven te ondersteunen.
