Porta del darrere BASICSTAR
L'actor d'amenaces Charming Kitten, originari de l'Iran i també conegut com APT35, CharmingCypress, Mint Sandstorm, TA453 i Yellow Garuda, s'ha relacionat recentment amb una sèrie de nous atacs dirigits a experts en polítiques de l'Orient Mitjà. Aquests atacs impliquen l'ús d'una nova porta del darrere anomenada BASICSTAR, que es desplega mitjançant la creació d'un portal de seminaris web fraudulent.
Charming Kitten té un historial de realització de campanyes d'enginyeria social diverses, utilitzant tàctiques dirigides àmpliament a diverses entitats, com ara grups de reflexió, organitzacions no governamentals (ONG) i periodistes.
Taula de continguts
Els ciberdelinqüents utilitzen diverses tàctiques de pesca per comprometre les víctimes
CharmingKitten utilitza sovint tècniques d'enginyeria social no convencionals, com ara la participació d'objectius en converses de correu electrònic prolongades abans d'introduir enllaços a contingut no segur. Microsoft ha revelat que aquest actor d'amenaces ha seleccionat persones notables que treballen en assumptes de l'Orient Mitjà per difondre programari maliciós com MischiefTut i MediaPl (també conegut com EYEGLASS), dissenyat per extreure informació confidencial dels amfitrions compromesos.
El grup, que es creu que està associat amb el Cos de la Guàrdia Revolucionària Islàmica (IRGC) de l'Iran, ha distribuït diverses altres portes del darrere, com ara PowerLess, BellaCiao, POWERSTAR (també conegut com GorjolEcho) i NokNok , durant l'últim any. Això subratlla el seu compromís de persistir en els seus ciberatacs, adaptant tàctiques i mètodes tot i ser exposats públicament.
Els atacants es posen com a entitats legítimes per enganyar les víctimes
Els atacs de pesca sota escrutini van implicar que els operadors de Charming Kitten van adoptar la disfressa de l'Institut Internacional Rasanah d'Estudis Iranians (IIIS) per iniciar i establir confiança amb els seus objectius.
Aquests intents de pesca són notables per utilitzar comptes de correu electrònic compromesos de contactes legítims, així com diversos comptes de correu electrònic sota el control de l'actor de l'amenaça, una pràctica coneguda com a suplantació de persones múltiples (MPI).
Les seqüències d'atac solen incloure arxius RAR que contenen fitxers LNK com a pas inicial per difondre programari maliciós. Els missatges animen els objectius potencials a participar en un seminari web fraudulent sobre temes adaptats als seus interessos. En un escenari d'infecció en diverses etapes observat, es van desplegar BASICSTAR i KORKULOADER, scripts de descàrrega de PowerShell.
El programari maliciós BASICSTAR recopila informació sensible de sistemes compromesos
BASICSTAR, identificat com a programari maliciós Visual Basic Script (VBS), presenta capacitats com ara recopilar informació bàsica del sistema, executar ordres remotes des d'un servidor d'ordres i control (C2) i descarregar i presentar un fitxer PDF seductor.
A més, certs atacs de pesca estan dissenyats estratègicament per oferir portes posteriors diferents basades en el sistema operatiu de la màquina objectiu. Les víctimes que utilitzen Windows estan sotmeses a compromisos mitjançant POWERLESS. Al mateix temps, els usuaris de macOS d'Apple estan exposats a una cadena d'infeccions que culmina amb NokNok, facilitada per una aplicació VPN funcional que conté programari maliciós incrustat.
Els investigadors afirmen que l'actor de l'amenaça demostra un alt nivell de compromís per vigilar els seus objectius, amb l'objectiu de discernir els mètodes més efectius de manipulació i desplegament de programari maliciós. A més, CharmingKitten destaca entre altres actors d'amenaça per llançar constantment nombroses campanyes i desplegar operadors humans per donar suport a les seves iniciatives en curs.
