BASICSTAR Bagdør
Trusselskuespilleren Charming Kitten, der stammer fra Iran og også kendt som APT35, CharmingCypress, Mint Sandstorm, TA453 og Yellow Garuda, er for nylig blevet forbundet med en række nye angreb rettet mod Mellemøstens politiske eksperter. Disse angreb involverer brugen af en ny bagdør ved navn BASICSTAR, som implementeres gennem oprettelsen af en svigagtig webinarportal.
Charming Kitten har en track record i at gennemføre forskellige social engineering-kampagner, ved at anvende taktikker, der i vid udstrækning er rettet mod forskellige enheder, herunder tænketanke, ikke-statslige organisationer (NGO'er) og journalister.
Indholdsfortegnelse
Cyberkriminelle bruger forskellige phishing-taktikker for at kompromittere ofre
CharmingKitten bruger ofte ukonventionelle social-engineering-teknikker, såsom at engagere mål i langvarige e-mail-samtaler, før de introducerer links til usikkert indhold. Microsoft har afsløret, at bemærkelsesværdige personer, der arbejder med mellemøstlige anliggender, er blevet udpeget af denne trusselsaktør til at sprede malware som MischiefTut og MediaPl (også kendt som EYEGLASS), designet til at udtrække følsomme oplysninger fra kompromitterede værter.
Gruppen, der menes at være forbundet med Irans Islamiske Revolutionsgarde (IRGC), har distribueret forskellige andre bagdøre, inklusive PowerLess, BellaCiao, POWERSTAR (aka GorjolEcho) og NokNok i løbet af det sidste år. Dette understreger deres forpligtelse til at fortsætte deres cyberangreb, tilpasse taktikker og metoder på trods af at de bliver offentligt afsløret.
Angribere poserer som legitime enheder for at narre ofre
Phishing-angrebene, der blev undersøgt, involverede Charming Kitten-operatører, der antog skikkelse af Rasanah International Institute for Iranian Studies (IIIS) for at indlede og skabe tillid til deres mål.
Disse phishing-forsøg er bemærkelsesværdige for at bruge kompromitterede e-mail-konti fra legitime kontakter, såvel som flere e-mail-konti under kontrol af trusselsaktøren, en praksis kendt som Multi-Persona Impersonation (MPI).
Angrebssekvenserne involverer typisk RAR-arkiver indeholdende LNK-filer som det indledende trin til at sprede malware. Meddelelserne opfordrer potentielle mål til at deltage i et svigagtigt webinar om emner, der er skræddersyet til deres interesser. I et observeret flertrinsinfektionsscenarie blev BASICSTAR og KORKULOADER, PowerShell downloader-scripts, implementeret.
BASICSTAR-malwaren indsamler følsomme oplysninger fra kompromitterede systemer
BASICSTAR, identificeret som en Visual Basic Script (VBS) malware, udviser funktioner som at indsamle grundlæggende systemoplysninger, udføre fjernkommandoer fra en Command-and-Control (C2)-server og downloade og præsentere en lokke-PDF-fil.
Desuden er visse phishing-angreb strategisk designet til at levere forskellige bagdøre baseret på den målrettede maskines operativsystem. Ofre, der bruger Windows, er udsat for kompromittering gennem POWERLESS. Samtidig udsættes Apple macOS-brugere for en infektionskæde, der kulminerer i NokNok, faciliteret af en funktionel VPN-applikation, der indeholder indlejret malware.
Forskere udtaler, at trusselsaktøren udviser et højt niveau af forpligtelse til at overvåge deres mål med det formål at skelne de mest effektive metoder til manipulation og udrulning af malware. Desuden skiller CharmingKitten sig ud blandt andre trusselsaktører ved konsekvent at lancere adskillige kampagner og indsætte menneskelige operatører til at støtte deres igangværende initiativer.
