BASICSTAR Backdoor
Aktori i kërcënimit Charming Kitten, me origjinë nga Irani dhe i njohur gjithashtu si APT35, CharmingCypress, Mint Sandstorm, TA453 dhe Yellow Garuda, kohët e fundit është lidhur me një seri sulmesh të reja që synojnë ekspertë të politikës së Lindjes së Mesme. Këto sulme përfshijnë përdorimin e një "backdoor" të ri të quajtur BASICSTAR, i cili vendoset përmes krijimit të një portali mashtrues webinar.
Charming Kitten ka një histori të kryerjes së fushatave të ndryshme inxhinierike sociale, duke përdorur taktika që synojnë gjerësisht entitete të ndryshme, duke përfshirë institutet e mendimit, organizatat joqeveritare (OJQ) dhe gazetarët.
Tabela e Përmbajtjes
Kriminelët kibernetikë përdorin taktika të ndryshme phishing për të kompromentuar viktimat
CharmingKitten shpesh përdor teknika jokonvencionale të inxhinierisë sociale, të tilla si angazhimi i objektivave në biseda të gjata me email përpara se të prezantojë lidhje me përmbajtje të pasigurt. Microsoft ka bërë të ditur se individë të shquar që punojnë në çështjet e Lindjes së Mesme janë veçuar nga ky aktor kërcënimi për të shpërndarë malware si MischiefTut dhe MediaPl (i njohur gjithashtu si EYEGLASS), të krijuar për të nxjerrë informacione të ndjeshme nga hostet e komprometuar.
Grupi, që besohet të jetë i lidhur me Korpusin e Gardës Revolucionare Islamike të Iranit (IRGC), ka shpërndarë disa prapambetura të tjera, duke përfshirë PowerLess, BellaCiao, POWERSTAR (aka GorjolEcho) dhe NokNok , gjatë vitit të kaluar. Kjo nënvizon angazhimin e tyre për të vazhduar në sulmet e tyre kibernetike, duke përshtatur taktikat dhe metodat pavarësisht se janë ekspozuar publikisht.
Sulmuesit paraqiten si subjekte legjitime për të mashtruar viktimat
Sulmet e phishing nën vëzhgim përfshinin operatorët Charming Kitten që adoptuan maskën e Institutit Ndërkombëtar Rasanah për Studime Iraniane (IIIS) për të nisur dhe krijuar besim me objektivat e tyre.
Këto përpjekje për phishing janë të dukshme për përdorimin e llogarive të komprometuara të postës elektronike nga kontakte legjitime, si dhe llogari të shumta emaili nën kontrollin e aktorit të kërcënimit, një praktikë e njohur si Impersonation Multi-Persona (MPI).
Sekuencat e sulmit zakonisht përfshijnë arkivat RAR që përmbajnë skedarë LNK si hapi fillestar për të shpërndarë malware. Mesazhet inkurajojnë objektivat e mundshëm të marrin pjesë në një webinar mashtrues mbi tema të përshtatura për interesat e tyre. Në një skenar të vëzhguar të infeksionit me shumë faza, BASICSTAR dhe KORKULOADER, skriptet e shkarkimit të PowerShell, u vendosën.
Malware BASICSTAR mbledh informacione të ndjeshme nga sisteme të komprometuara
BASICSTAR, i identifikuar si një malware i Visual Basic Script (VBS), shfaq aftësi të tilla si mbledhja e informacionit themelor të sistemit, ekzekutimi i komandave në distancë nga një server Command-and-Control (C2) dhe shkarkimi dhe prezantimi i një skedari PDF decoy.
Për më tepër, disa sulme phishing janë të dizajnuara në mënyrë strategjike për të ofruar prapambetje të dallueshme bazuar në sistemin operativ të makinës së synuar. Viktimat që përdorin Windows i nënshtrohen kompromisit nëpërmjet POWERLESS. Në të njëjtën kohë, përdoruesit e Apple macOS janë të ekspozuar ndaj një zinxhiri infeksioni që kulmon në NokNok, i lehtësuar nga një aplikacion funksional VPN që përmban malware të integruar.
Studiuesit deklarojnë se aktori i kërcënimit demonstron një nivel të lartë angazhimi për të mbikqyrur objektivat e tyre, duke synuar të dallojë metodat më efektive të manipulimit dhe vendosjes së malware. Për më tepër, CharmingKitten dallohet midis aktorëve të tjerë të kërcënimit duke nisur vazhdimisht fushata të shumta dhe duke vendosur operatorë njerëzorë për të mbështetur iniciativat e tyre të vazhdueshme.
