Backdoor BASICSTAR
Pochodzący z Iranu aktor stwarzający zagrożenie Charming Kitten, znany również jako APT35, CharmingCypress, Mint Sandstorm, TA453 i Yellow Garuda, został niedawno powiązany z serią nowych ataków wymierzonych w ekspertów ds. polityki Bliskiego Wschodu. Ataki te obejmują wykorzystanie nowego backdoora o nazwie BASICSTAR, który jest wdrażany poprzez utworzenie fałszywego portalu webinarowego.
Charming Kitten ma doświadczenie w prowadzeniu różnorodnych kampanii inżynierii społecznej, stosując taktyki skierowane szeroko do różnych podmiotów, w tym ośrodków doradczo-rozwojowych, organizacji pozarządowych (NGO) i dziennikarzy.
Spis treści
Cyberprzestępcy stosują różne taktyki phishingu, aby narazić ofiary na szwank
CharmingKitten często wykorzystuje niekonwencjonalne techniki inżynierii społecznej, takie jak angażowanie celów w długotrwałe rozmowy e-mailowe przed wprowadzeniem linków do niebezpiecznych treści. Firma Microsoft ujawniła, że ten ugrupowanie zagrażające wybrał wybitne osoby pracujące nad sprawami Bliskiego Wschodu do rozpowszechniania złośliwego oprogramowania, takiego jak MischiefTut i MediaPl (znanego również jako EYEGLAS), którego celem jest wydobywanie poufnych informacji z zaatakowanych hostów.
Grupa ta, uważana za powiązaną z irańskim Korpusem Strażników Rewolucji Islamskiej (IRGC), w ciągu ostatniego roku rozprowadziła różne inne backdoory, w tym PowerLess, BellaCiao, POWERSTAR (alias GorjolEcho) i NokNok . Podkreśla to ich zaangażowanie w kontynuowanie cyberataków oraz dostosowywanie taktyk i metod pomimo ujawnienia ich publicznie.
Napastnicy podają się za legalne podmioty i oszukują ofiary
Badane ataki phishingowe dotyczyły operatorów Charming Kitten podających się za Międzynarodowy Instytut Studiów Irańskich Rasanah (IIIS), aby inicjować i budować zaufanie wśród swoich celów.
Te próby wyłudzenia informacji charakteryzują się wykorzystaniem przejętych kont e-mail pochodzących od legalnych kontaktów, a także wielu kont e-mail kontrolowanych przez osobę stanowiącą zagrożenie, co jest praktyką znaną jako podszywanie się pod osobę wieloosobową (MPI).
Sekwencje ataków zazwyczaj obejmują archiwa RAR zawierające pliki LNK, co stanowi pierwszy krok w rozpowszechnianiu złośliwego oprogramowania. Wiadomości zachęcają potencjalne cele do wzięcia udziału w oszukańczym seminarium internetowym na tematy dostosowane do ich zainteresowań. W jednym z zaobserwowanych wieloetapowych scenariuszy infekcji wdrożono BASICSTAR i KORKULOADER, czyli skrypty pobierania programu PowerShell.
Złośliwe oprogramowanie BASICSTAR zbiera poufne informacje z zaatakowanych systemów
BASICSTAR, identyfikowany jako złośliwe oprogramowanie Visual Basic Script (VBS), wykazuje możliwości takie jak zbieranie podstawowych informacji o systemie, zdalne wykonywanie poleceń z serwera dowodzenia i kontroli (C2) oraz pobieranie i prezentowanie fałszywego pliku PDF.
Co więcej, niektóre ataki phishingowe są strategicznie zaprojektowane tak, aby dostarczać różne backdoory w zależności od systemu operacyjnego docelowej maszyny. Ofiary korzystające z systemu Windows są narażone na ryzyko poprzez POWERLESS. Jednocześnie użytkownicy Apple macOS są narażeni na łańcuch infekcji, którego kulminacją jest NokNok, wspomagany przez funkcjonalną aplikację VPN zawierającą wbudowane złośliwe oprogramowanie.
Badacze twierdzą, że ugrupowanie zagrażające wykazuje wysoki poziom zaangażowania w inwigilację swoich celów, mając na celu rozpoznanie najskuteczniejszych metod manipulacji i wdrażania złośliwego oprogramowania. Co więcej, CharmingKitten wyróżnia się na tle innych podmiotów zagrażających poprzez konsekwentne uruchamianie licznych kampanii i wykorzystywanie ludzkich operatorów do wspierania ich bieżących inicjatyw.
