BASICSTAR tagauks
Ohunäitleja Charming Kitten, kes on pärit Iraanist ja tuntud ka kui APT35, CharmingCypress, Mint Sandstorm, TA453 ja Yellow Garuda, on hiljuti seostatud uute Lähis-Ida poliitikaekspertide sihikule suunatud rünnakutega. Need rünnakud hõlmavad uue tagaukse nimega BASICSTAR kasutamist, mis juurutatakse petturliku veebiseminari portaali loomise kaudu.
Charming Kittenil on kogemusi mitmesuguste sotsiaalsete manipuleerimise kampaaniate läbiviimisel, kasutades taktikaid, mis on laialdaselt suunatud erinevatele üksustele, sealhulgas mõttekojad, valitsusvälised organisatsioonid (VVOd) ja ajakirjanikud.
Sisukord
Küberkurjategijad kasutavad ohvrite kompromiteerimiseks erinevaid andmepüügi taktikaid
CharmingKitten kasutab sageli ebatavalisi sotsiaalseid tehnikaid, näiteks sihtmärkide kaasamist pikaajalistesse meilivestlustesse, enne kui lisab linke ebaturvalisele sisule. Microsoft on avalikustanud, et see ohustaja on valinud Lähis-Ida asjadega tegelevad märkimisväärsed isikud, kes levitavad pahavara, nagu MischiefTut ja MediaPl (tuntud ka kui EYEGLASS), mis on loodud tundliku teabe hankimiseks ohustatud hostidelt.
Rühm, mis arvatakse olevat seotud Iraani islami revolutsioonilise kaardiväe korpusega (IRGC), on viimase aasta jooksul levitanud mitmesuguseid muid tagauksi, sealhulgas PowerLessi, BellaCiaot, POWERSTAR (teise nimega GorjolEcho) ja NokNoki . See rõhutab nende pühendumust küberrünnakutes jätkata, kohandades taktikaid ja meetodeid, hoolimata sellest, et nad on avalikult paljastatud.
Ründajad esinevad ohvrite petmiseks seaduslike üksustena
Vaatluse all olnud andmepüügirünnakud hõlmasid Charming Kitten'i operaatoreid, kes võtsid Rasanah' rahvusvahelise Iraani Uuringute Instituudi (IIIS) näo, et algatada ja luua usaldust oma sihtmärkidega.
Need andmepüügikatsed on tähelepanuväärsed seaduslike kontaktide ohustatud meilikontode ja mitme ohuteguri kontrolli all olevate meilikontode kasutamise tõttu. Seda tava tuntakse mitme isikuga esinemise (MPI) nime all.
Ründejärjestused hõlmavad tavaliselt pahavara levitamise esimese sammuna LNK-faile sisaldavaid RAR-arhiive. Sõnumid julgustavad potentsiaalseid sihtmärke osalema petturlikul veebiseminaril nende huvidele kohandatud teemadel. Ühes vaadeldud mitmeastmelise nakatumise stsenaariumi puhul kasutati PowerShelli allalaadija skripte BASICSTAR ja KORKULOADER.
BASICSTAR-i pahavara kogub ohustatud süsteemidest tundlikku teavet
BASICSTAR, mis on tuvastatud kui Visual Basic Script (VBS) pahavara, pakub selliseid funktsioone nagu põhilise süsteemiteabe kogumine, kaugkäskude täitmine Command-and-Control (C2) serverist ning peibutus-PDF-faili allalaadimine ja esitamine.
Lisaks on teatud andmepüügirünnakud strateegiliselt kavandatud nii, et need tagaksid sihitud masina operatsioonisüsteemil põhinevad tagauksed. Windowsi kasutavad ohvrid satuvad POWERLESS kaudu kompromissidele. Samal ajal puutuvad Apple macOS-i kasutajad kokku NokNokiga kulmineeruva nakkusahelaga, mida hõlbustab manustatud pahavara sisaldav funktsionaalne VPN-rakendus.
Teadlased väidavad, et ohus osaleja näitab üles suurt pühendumust oma sihtmärkide jälgimisele, eesmärgiga tuvastada kõige tõhusamad manipuleerimis- ja pahavara juurutamise meetodid. Lisaks paistab CharmingKitten teiste ohus osalejate seas silma sellega, et käivitab järjekindlalt arvukalt kampaaniaid ja kasutab nende käimasolevate algatuste toetamiseks inimoperaatoreid.
