Zadné vrátka BASICSTAR

Aktér hrozieb Charming Kitten, pochádzajúci z Iránu a známy aj ako APT35, CharmingCypress, Mint Sandstorm, TA453 a Yellow Garuda, bol nedávno spájaný so sériou nových útokov zameraných na expertov na politiku Blízkeho východu. Tieto útoky zahŕňajú použitie nového zadného vrátka s názvom BASICSTAR, ktorý je nasadený prostredníctvom vytvorenia podvodného webového portálu.

Charming Kitten má skúsenosti s vedením rôznych kampaní sociálneho inžinierstva, využívajúcich taktiky, ktoré sa vo veľkej miere zameriavajú na rôzne subjekty, vrátane think-tankov, mimovládnych organizácií (MVO) a novinárov.

Kyberzločinci používajú rôzne phishingové taktiky na kompromitáciu obetí

CharmingKitten často využíva nekonvenčné techniky sociálneho inžinierstva, ako je zapojenie cieľov do dlhších e-mailových konverzácií pred uvedením odkazov na nebezpečný obsah. Spoločnosť Microsoft odhalila, že tento aktér hrozby vybral významných jednotlivcov pracujúcich na záležitostiach Blízkeho východu, aby šírili malvér ako MischiefTut a MediaPl (tiež známy ako EYEGLASS), ktorý je určený na získavanie citlivých informácií z napadnutých hostiteľov.

Skupina, o ktorej sa predpokladá, že je spojená s Iránskymi revolučnými gardami (IRGC), za posledný rok distribuovala rôzne ďalšie zadné vrátka vrátane PowerLess, BellaCiao, POWERSTAR (aka GorjolEcho) a NokNok . To podčiarkuje ich odhodlanie vytrvať vo svojich kybernetických útokoch, prispôsobiť taktiku a metódy napriek tomu, že boli verejne odhalené.

Útočníci vystupujú ako legitímne subjekty na oklamanie obetí

Sledované phishingové útoky zahŕňali operátorov Charming Kitten, ktorí si osvojili masku Rasanah International Institute for Iranian Studies (IIIS), aby nadviazali dôveru k svojim cieľom.

Tieto pokusy o phishing sú pozoruhodné používaním kompromitovaných e-mailových účtov od legitímnych kontaktov, ako aj viacerých e-mailových účtov pod kontrolou aktéra hrozby, čo je prax známa ako Multi-Persona Impersonation (MPI).

Útočné sekvencie zvyčajne zahŕňajú archívy RAR obsahujúce súbory LNK ako počiatočný krok na šírenie škodlivého softvéru. Správy povzbudzujú potenciálne ciele k účasti na podvodnom webinári o témach prispôsobených ich záujmom. V jednom pozorovanom scenári viacstupňovej infekcie boli nasadené BASICSTAR a KORKULOADER, skripty na sťahovanie PowerShell.

Malvér BASICSTAR zhromažďuje citlivé informácie z kompromitovaných systémov

BASICSTAR, identifikovaný ako malvér Visual Basic Script (VBS), vykazuje schopnosti, ako je zhromažďovanie základných systémových informácií, vykonávanie vzdialených príkazov zo servera Command-and-Control (C2) a sťahovanie a prezentovanie návnady PDF súboru.

Okrem toho sú niektoré phishingové útoky strategicky navrhnuté tak, aby poskytovali odlišné zadné vrátka na základe operačného systému cieľového počítača. Obete používajúce Windows sú vystavené kompromisu prostredníctvom BEZPOMOCI. Používatelia Apple macOS sú zároveň vystavení infekčnému reťazcu, ktorý vyvrcholí v NokNok, vďaka funkčnej VPN aplikácii obsahujúcej vložený malvér.

Výskumníci uvádzajú, že aktér hrozby preukazuje vysoký stupeň odhodlania sledovať svoje ciele s cieľom rozpoznať najefektívnejšie metódy manipulácie a nasadenia malvéru. Okrem toho CharmingKitten vyniká medzi ostatnými aktérmi hrozieb dôsledným spúšťaním mnohých kampaní a nasadením ľudských operátorov na podporu ich prebiehajúcich iniciatív.