BASICSTAR Backdoor
O autor de ameaças Charming Kitten, originário do Irã e também conhecido como APT35, CharmingCypress, Mint Sandstorm, TA453 e Yellow Garuda, foi recentemente associado a uma série de novos ataques contra especialistas em políticas do Médio Oriente. Esses ataques envolvem o uso de um novo backdoor denominado BASICSTAR, que é implantado por meio da criação de um portal de webinar fraudulento.
Charming Kitten tem um histórico de realização de diversas campanhas de engenharia social, empregando táticas que visam extensivamente diversas entidades, incluindo grupos de reflexão, organizações não governamentais (ONGs) e jornalistas.
Índice
Os Cibercriminosos Usam Várias Táticas de Phishing para Comprometer as Vítimas
CharmingKitten frequentemente utiliza técnicas não convencionais de engenharia social, como envolver alvos em conversas prolongadas por e-mail antes de introduzir links para conteúdo inseguro. A Microsoft divulgou que indivíduos notáveis que trabalham em assuntos do Oriente Médio foram escolhidos por esse ator de ameaça para disseminar malware como MischiefTut e MediaPl (também conhecido como EYEGLASS), projetados para extrair informações confidenciais de hosts comprometidos.
O grupo, que se acredita estar associado ao Corpo da Guarda Revolucionária Islâmica do Irã (IRGC), distribuiu vários outros backdoors, incluindo PowerLess, BellaCiao, POWERSTAR (também conhecido como GorjolEcho) e NokNok, no ano passado. Isto sublinha o seu compromisso de persistir nos seus ataques cibernéticos, adaptando tácticas e métodos apesar de serem expostos publicamente.
Os Atacantes Se Apresentam como Entidades Legítimas para Enganar as Vítimas
Os ataques de phishing sob escrutínio envolveram operadores Charming Kitten adotando o disfarce do Instituto Internacional Rasanah de Estudos Iranianos (IIIS) para iniciar e estabelecer confiança com seus alvos.
Essas tentativas de phishing são notáveis por usarem contas de e-mail comprometidas de contatos legítimos, bem como múltiplas contas de e-mail sob o controle do autor da ameaça, uma prática conhecida como representação de múltiplas pessoas (MPI).
As sequências de ataque normalmente envolvem arquivos RAR contendo arquivos LNK como etapa inicial para disseminar malware. As mensagens incentivam potenciais alvos a participarem num webinar fraudulento sobre assuntos adaptados aos seus interesses. Em um cenário de infecção em vários estágios observado, o BASICSTAR e o KORKULOADER, scripts de download do PowerShell, foram implantados.
O BASICSTAR Malware Coleta Informações Confidenciais nos Sistemas Comprometidos
O BASICSTAR, identificado como um malware Visual Basic Script (VBS), exibe recursos como coleta de informações fundamentais do sistema, execução de comandos remotos de um servidor de comando e controle (C2) e download e apresentação de um arquivo PDF falso.
Além disso, certos ataques de phishing são estrategicamente concebidos para fornecer backdoors distintos com base no sistema operativo da máquina visada. As vítimas que usam o Windows estão sujeitas a comprometimento por meio do POWERLESS. Ao mesmo tempo, os usuários do Apple macOS estão expostos a uma cadeia de infecção que culmina no NokNok, facilitada por um aplicativo VPN funcional contendo malware incorporado.
Os investigadores afirmam que o agente da ameaça demonstra um elevado nível de compromisso na vigilância dos seus alvos, com o objetivo de discernir os métodos mais eficazes de manipulação e implantação de malware. Além disso, a CharmingKitten destaca-se entre outros agentes de ameaças ao lançar consistentemente inúmeras campanhas e ao mobilizar operadores humanos para apoiar as suas iniciativas em curso.
