BASICSTAR דלת אחורית
שחקן האיום Charming Kitten, שמקורו מאיראן וידוע גם בשם APT35, CharmingCypress, Mint Sandstorm, TA453 ו-Yellow Garuda, נקשר לאחרונה לסדרה של התקפות חדשות נגד מומחי מדיניות במזרח התיכון. התקפות אלו כרוכות בשימוש בדלת אחורית חדשה בשם BASICSTAR, אשר נפרסת באמצעות יצירת פורטל סמינר אינטרנטי הונאה.
ל-Charming Kitten יש רקורד של ניהול קמפיינים להנדסה חברתית מגוונים, תוך שימוש בטקטיקות המכוונות רבות לגופים שונים, כולל צוותי חשיבה, ארגונים לא ממשלתיים (NGOs) ועיתונאים.
תוכן העניינים
פושעי סייבר משתמשים בטקטיקות פישינג שונות כדי להתפשר על קורבנות
CharmingKitten משתמשת לעתים קרובות בטכניקות הנדסה חברתיות לא שגרתיות, כמו מעורבות מטרות בשיחות דוא"ל ממושכות לפני הכנסת קישורים לתוכן לא בטוח. מיקרוסופט חשפה שאנשים בולטים שעובדים בענייני המזרח התיכון נבחרו על ידי שחקן האיום הזה כדי להפיץ תוכנות זדוניות כמו MischiefTut ו-MediaPl (הידוע גם בשם EYEGLASS), שנועדו לחלץ מידע רגיש ממארחים שנפגעו.
הקבוצה, על פי ההערכות קשורה לחיל משמרות המהפכה האסלאמיות של איראן (IRGC), הפיצה במהלך השנה האחרונה דלתות אחוריות שונות, כולל PowerLess, BellaCiao, POWERSTAR (המכונה GorjolEcho) ו- NokNok . זה מדגיש את המחויבות שלהם להתמיד בהתקפות הסייבר שלהם, להתאים טקטיקות ושיטות למרות שנחשפו בפומבי.
התוקפים מתחזים לישויות לגיטימיות כדי להערים על קורבנות
התקפות הדיוג שנבדקו כללו מפעילי חתולים מקסימים שאימצו את הדמות של המכון הבינלאומי ללימודי איראן Rasanah (IIIS) כדי ליזום ולבסס אמון עם המטרות שלהם.
ניסיונות דיוג אלה בולטים בשימוש בחשבונות דוא"ל שנפגעו מאנשי קשר לגיטימיים, כמו גם בחשבונות דוא"ל מרובים בשליטתו של שחקן האיום, נוהג המכונה התחזות מרובה-אישית (MPI).
רצפי ההתקפה כוללים בדרך כלל ארכיוני RAR המכילים קבצי LNK כשלב הראשוני להפצת תוכנות זדוניות. ההודעות מעודדות יעדים פוטנציאליים להשתתף בסמינר מקוון הונאה בנושאים המותאמים לתחומי העניין שלהם. בתרחיש אחד של זיהום רב-שלבי שנצפה, נפרסו BASICSTAR ו-KORKULOADER, סקריפטים להורדת PowerShell.
תוכנת זדונית BASICSTAR אוספת מידע רגיש ממערכות שנפגעו
BASICSTAR, המזוהה כתוכנה זדונית של Visual Basic Script (VBS), מציגה יכולות כמו איסוף מידע בסיסי על המערכת, ביצוע פקודות מרחוק משרת Command-and-Control (C2) והורדה והצגת קובץ PDF.
יתר על כן, התקפות פישינג מסוימות מתוכננות אסטרטגית לספק דלתות אחוריות ברורות המבוססות על מערכת ההפעלה של המחשב הממוקד. קורבנות המשתמשים ב-Windows נתונים לפשרה באמצעות POWERLESS. במקביל, משתמשי macOS של אפל נחשפים לשרשרת זיהומים שהגיעה לשיאה ב-NokNok, בהנחיית אפליקציית VPN פונקציונלית המכילה תוכנות זדוניות משובצות.
חוקרים מצהירים ששחקן האיום מפגין רמה גבוהה של מחויבות למעקב אחר מטרותיו, במטרה להבחין בשיטות היעילות ביותר של מניפולציה ופריסה של תוכנות זדוניות. יתר על כן, CharmingKitten בולט בין שאר גורמי האיומים על ידי השקת קמפיינים רבים ופריסה של מפעילים אנושיים כדי לתמוך ביוזמות השוטפות שלהם.
