باب خلفي من BASICSTAR

تم مؤخرًا ربط جهة التهديد Charming Kitten، التي نشأت في إيران والمعروفة أيضًا باسم APT35 وCharmingCypress وMint Sandstorm وTA453 وYellow Garuda، بسلسلة من الهجمات الجديدة التي تستهدف خبراء سياسة الشرق الأوسط. تتضمن هذه الهجمات استخدام باب خلفي جديد يسمى BASICSTAR، والذي يتم نشره من خلال إنشاء بوابة ندوات عبر الإنترنت احتيالية.

تتمتع شركة Charming Kitten بسجل حافل في إجراء حملات الهندسة الاجتماعية المتنوعة، واستخدام التكتيكات التي تستهدف على نطاق واسع مختلف الكيانات، بما في ذلك مؤسسات الفكر والرأي والمنظمات غير الحكومية والصحفيين.

يستخدم مجرمو الإنترنت أساليب التصيد الاحتيالي المختلفة لاختراق الضحايا

تستخدم CharmingKitten في كثير من الأحيان تقنيات الهندسة الاجتماعية غير التقليدية، مثل إشراك الأهداف في محادثات مطولة عبر البريد الإلكتروني قبل تقديم روابط لمحتوى غير آمن. كشفت Microsoft أن أفرادًا بارزين يعملون في شؤون الشرق الأوسط قد تم اختيارهم من قبل جهة التهديد هذه لنشر برامج ضارة مثل Mis ChiefTut وMediaPl (المعروفة أيضًا باسم EYEGLASS)، المصممة لاستخراج المعلومات الحساسة من المضيفين المخترقين.

وقامت المجموعة، التي يُعتقد أنها مرتبطة بالحرس الثوري الإسلامي الإيراني (IRGC)، بتوزيع العديد من الأبواب الخلفية الأخرى، بما في ذلك PowerLess وBellaCiao و POWERSTAR (المعروف أيضًا باسم GorjolEcho) و NokNok ، خلال العام الماضي. وهذا يؤكد التزامهم بمواصلة هجماتهم السيبرانية، وتكييف التكتيكات والأساليب على الرغم من كشفها علنًا.

يتظاهر المهاجمون بأنهم كيانات شرعية لخداع الضحايا

تضمنت هجمات التصيد الاحتيالي التي تخضع للتدقيق، مشغلي Charming Kitten الذين يتبنون ستار معهد راسانا الدولي للدراسات الإيرانية (IIIS) لبدء وتأسيس الثقة مع أهدافهم.

تتميز محاولات التصيد الاحتيالي هذه باستخدام حسابات بريد إلكتروني مخترقة من جهات اتصال مشروعة، بالإضافة إلى حسابات بريد إلكتروني متعددة تحت سيطرة جهة التهديد، وهي ممارسة تُعرف باسم انتحال الشخصية المتعددة (MPI).

تتضمن تسلسلات الهجوم عادةً أرشيفات RAR تحتوي على ملفات LNK كخطوة أولية لنشر البرامج الضارة. تشجع الرسائل الأهداف المحتملة على المشاركة في ندوة عبر الإنترنت احتيالية حول موضوعات مصممة خصيصًا لتناسب اهتماماتهم. في أحد سيناريوهات العدوى متعددة المراحل، تم نشر البرامج النصية لتنزيل BASICSTAR وKORKULOADER، PowerShell.

تجمع البرامج الضارة BASICSTAR معلومات حساسة من الأنظمة المخترقة

يُظهر BASICSTAR، الذي تم تعريفه على أنه برنامج ضار لبرنامج Visual Basic (VBS)، إمكانات مثل جمع معلومات النظام الأساسية وتنفيذ الأوامر عن بعد من خادم الأوامر والتحكم (C2) وتنزيل وتقديم ملف PDF خادع.

علاوة على ذلك، تم تصميم بعض هجمات التصيد الاحتيالي بشكل استراتيجي لتوفير أبواب خلفية متميزة بناءً على نظام تشغيل الجهاز المستهدف. يتعرض الضحايا الذين يستخدمون Windows للتسوية من خلال POWERLESS. وفي الوقت نفسه، يتعرض مستخدمو Apple macOS لسلسلة عدوى تبلغ ذروتها في NokNok، ويتم تسهيل ذلك من خلال تطبيق VPN وظيفي يحتوي على برامج ضارة مضمنة.

ويشير الباحثون إلى أن جهة التهديد تُظهر مستوى عالٍ من الالتزام بمراقبة أهدافها، بهدف اكتشاف أكثر الطرق فعالية للتلاعب ونشر البرامج الضارة. علاوة على ذلك، تبرز CharmingKitten بين الجهات الفاعلة الأخرى في مجال التهديد من خلال إطلاق العديد من الحملات باستمرار ونشر مشغلين بشريين لدعم مبادراتها المستمرة.