BASICSTAR Backdoor
Исполнитель угроз Charming Kitten, родом из Ирана и также известный как APT35, CharmingCypress, Mint Sandstorm, TA453 и Yellow Garuda, недавно был связан с серией новых атак, направленных против экспертов по политике Ближнего Востока. Эти атаки включают использование нового бэкдора под названием BASICSTAR, который развертывается посредством создания мошеннического портала для вебинаров.
Charming Kitten имеет опыт проведения разнообразных кампаний социальной инженерии, используя тактику, широко нацеленную на различные организации, включая аналитические центры, неправительственные организации (НПО) и журналистов.
Оглавление
Киберпреступники используют различные фишинговые приемы для компрометации жертв
CharmingKitten часто использует нетрадиционные методы социальной инженерии, например, вовлекает жертв в длительные переписки по электронной почте, прежде чем предлагать ссылки на небезопасный контент. Microsoft сообщила, что известные люди, работающие на Ближнем Востоке, были выбраны этим злоумышленником для распространения вредоносных программ, таких как MischiefTut и MediaPl (также известных как EYEGLASS), предназначенных для извлечения конфиденциальной информации со скомпрометированных хостов.
Группа, предположительно связанная с иранским Корпусом стражей исламской революции (КСИР), за последний год распространила ряд других бэкдоров, в том числе PowerLess, BellaCiao, POWERSTAR (также известный как GorjolEcho) и NokNok . Это подчеркивает их готовность продолжать свои кибератаки, адаптируя тактику и методы, несмотря на публичное разоблачение.
Злоумышленники выдают себя за законных лиц, чтобы обмануть жертв
В расследуемых фишинговых атаках участвовали операторы Charming Kitten, принявшие вид Международного института иранских исследований Расана (IIIS), чтобы инициировать и установить доверие к своим целям.
Эти попытки фишинга примечательны тем, что используются скомпрометированные учетные записи электронной почты от законных контактов, а также несколько учетных записей электронной почты, находящихся под контролем злоумышленника. Эта практика известна как многопользовательское олицетворение (MPI).
Последовательности атак обычно включают архивы RAR, содержащие файлы LNK, в качестве первого шага по распространению вредоносного ПО. Сообщения побуждают потенциальных жертв принять участие в мошенническом вебинаре по темам, соответствующим их интересам. В одном из наблюдаемых сценариев многоэтапного заражения были развернуты сценарии загрузчика PowerShell BASICSTAR и KORKULOADER.
Вредоносное ПО BASISTAR собирает конфиденциальную информацию из скомпрометированных систем
BASISTAR, идентифицированный как вредоносное ПО Visual Basic Script (VBS), демонстрирует такие возможности, как сбор основной системной информации, выполнение удаленных команд с сервера управления и контроля (C2), а также загрузка и представление ложного PDF-файла.
Более того, некоторые фишинговые атаки стратегически разработаны для создания различных бэкдоров, основанных на операционной системе целевой машины. Жертвы, использующие Windows, подвергаются компрометации через POWERLESS. В то же время пользователи Apple macOS подвергаются цепочке заражения, кульминацией которой является NokNok, чему способствует функциональное приложение VPN, содержащее встроенное вредоносное ПО.
Исследователи заявляют, что злоумышленник демонстрирует высокий уровень готовности к наблюдению за своими целями, стремясь выявить наиболее эффективные методы манипулирования и развертывания вредоносного ПО. Более того, CharmingKitten выделяется среди других участников угроз, последовательно запуская многочисленные кампании и привлекая людей-операторов для поддержки своих текущих инициатив.
