BASICSTAR Bakdörr
Hotskådespelaren Charming Kitten, som kommer från Iran och även känd som APT35, CharmingCypress, Mint Sandstorm, TA453 och Yellow Garuda, har nyligen kopplats till en serie nya attacker riktade mot Mellanösternpolitiska experter. Dessa attacker involverar användningen av en ny bakdörr som heter BASICSTAR, som distribueras genom skapandet av en bedräglig webinarportal.
Charming Kitten har en meritlista av att genomföra olika sociala ingenjörskampanjer, med taktik som i stor utsträckning riktar sig till olika enheter, inklusive tankesmedjor, icke-statliga organisationer (NGOs) och journalister.
Innehållsförteckning
Cyberbrottslingar använder olika nätfisketaktik för att kompromissa med offer
CharmingKitten använder ofta okonventionella sociala ingenjörstekniker, som att engagera mål i långa e-postkonversationer innan de introducerar länkar till osäkert innehåll. Microsoft har avslöjat att anmärkningsvärda personer som arbetar med Mellanösternfrågor har pekats ut av denna hotaktör för att sprida skadlig programvara som MischiefTut och MediaPl (även känd som EYEGLASS), utformade för att extrahera känslig information från värdar som utsatts för intrång.
Gruppen, som tros vara associerad med Irans islamiska revolutionsgardet (IRGC), har distribuerat olika andra bakdörrar, inklusive PowerLess, BellaCiao, POWERSTAR (aka GorjolEcho) och NokNok , under det senaste året. Detta understryker deras engagemang för att fortsätta med sina cyberattacker, anpassa taktik och metoder trots att de blivit offentligt utsatta.
Angripare poserar som legitima enheter för att lura offer
Nätfiskeattackerna under granskning involverade Charming Kitten-operatörer som antog skepnaden av Rasanah International Institute for Iranian Studies (IIIS) för att initiera och skapa förtroende med sina mål.
Dessa nätfiskeförsök är kända för att använda komprometterade e-postkonton från legitima kontakter, såväl som flera e-postkonton under kontroll av hotaktören, en praxis som kallas Multi-Persona Impersonation (MPI).
Attacksekvenserna involverar vanligtvis RAR-arkiv som innehåller LNK-filer som det första steget för att sprida skadlig programvara. Meddelanden uppmuntrar potentiella mål att delta i ett bedrägligt webbseminarium om ämnen som är skräddarsydda för deras intressen. I ett observerat flerstegsinfektionsscenario distribuerades BASICSTAR och KORKULOADER, PowerShell-nedladdningsskript.
BASICSTAR Malware samlar in känslig information från komprometterade system
BASICSTAR, identifierad som en Visual Basic Script (VBS) skadlig kod, uppvisar möjligheter som att samla in grundläggande systeminformation, utföra fjärrkommandon från en Command-and-Control (C2)-server och ladda ner och presentera en decoy PDF-fil.
Dessutom är vissa nätfiskeattacker strategiskt utformade för att ge distinkta bakdörrar baserade på den riktade maskinens operativsystem. Offer som använder Windows utsätts för kompromisser genom POWERLESS. Samtidigt utsätts Apple macOS-användare för en infektionskedja som kulminerar i NokNok, som underlättas av en fungerande VPN-applikation som innehåller inbäddad skadlig kod.
Forskare konstaterar att hotaktören visar en hög nivå av engagemang för att övervaka sina mål, i syfte att urskilja de mest effektiva metoderna för manipulation och spridning av skadlig programvara. Dessutom sticker CharmingKitten ut bland andra hotaktörer genom att konsekvent lansera ett flertal kampanjer och använda mänskliga operatörer för att stödja deras pågående initiativ.
