BASICSTAR Backdoor
ख़तरनाक अभिनेता चार्मिंग किटन, जो ईरान से उत्पन्न हुआ है और जिसे APT35, चार्मिंगसिप्रेस, मिंट सैंडस्टॉर्म, TA453 और येलो गरुड़ के नाम से भी जाना जाता है, को हाल ही में मध्य पूर्व नीति विशेषज्ञों को लक्षित करने वाले ताज़ा हमलों की एक श्रृंखला से जोड़ा गया है। इन हमलों में BASICSTAR नामक एक नए पिछले दरवाजे का उपयोग शामिल है, जिसे एक धोखाधड़ी वेबिनार पोर्टल के निर्माण के माध्यम से तैनात किया गया है।
चार्मिंग किटन के पास विविध सामाजिक इंजीनियरिंग अभियान चलाने, ऐसी रणनीतियाँ अपनाने का ट्रैक रिकॉर्ड है जो थिंक टैंक, गैर-सरकारी संगठनों (एनजीओ) और पत्रकारों सहित विभिन्न संस्थाओं को बड़े पैमाने पर लक्षित करती हैं।
विषयसूची
साइबर अपराधी पीड़ितों से समझौता करने के लिए विभिन्न फ़िशिंग युक्तियों का उपयोग करते हैं
चार्मिंगकिटन अक्सर अपरंपरागत सामाजिक-इंजीनियरिंग तकनीकों का उपयोग करता है, जैसे असुरक्षित सामग्री के लिंक पेश करने से पहले लंबे समय तक ईमेल वार्तालापों में लक्ष्य को शामिल करना। माइक्रोसॉफ्ट ने खुलासा किया है कि मध्य पूर्वी मामलों पर काम करने वाले उल्लेखनीय व्यक्तियों को इस खतरनाक अभिनेता द्वारा मिसचीफटट और मीडियापीएल (जिसे आईग्लास के नाम से भी जाना जाता है) जैसे मैलवेयर फैलाने के लिए चुना गया है, जो समझौता किए गए होस्ट से संवेदनशील जानकारी निकालने के लिए डिज़ाइन किया गया है।
माना जाता है कि यह समूह ईरान के इस्लामिक रिवोल्यूशनरी गार्ड कॉर्प्स (आईआरजीसी) से जुड़ा हुआ है, जिसने पिछले साल पावरलेस, बेलासियाओ, पावरस्टार (उर्फ गोरजोलइको) और नोकनोक सहित कई अन्य बैकडोर वितरित किए हैं। यह सार्वजनिक रूप से उजागर होने के बावजूद अपने साइबर हमलों को जारी रखने, रणनीति और तरीकों को अपनाने की उनकी प्रतिबद्धता को रेखांकित करता है।
पीड़ितों को बरगलाने के लिए हमलावर खुद को वैध संस्था के रूप में प्रस्तुत करते हैं
जांच के तहत फ़िशिंग हमलों में चार्मिंग किटन ऑपरेटर्स शामिल थे, जिन्होंने अपने लक्ष्यों के साथ शुरुआत करने और विश्वास स्थापित करने के लिए रसाना इंटरनेशनल इंस्टीट्यूट फॉर ईरानी स्टडीज (IIIS) की आड़ अपनाई थी।
ये फ़िशिंग प्रयास वैध संपर्कों से समझौता किए गए ईमेल खातों के साथ-साथ खतरे वाले अभिनेता के नियंत्रण में कई ईमेल खातों का उपयोग करने के लिए उल्लेखनीय हैं, एक अभ्यास जिसे मल्टी-पर्सोना इंपर्सनेशन (एमपीआई) के रूप में जाना जाता है।
हमले के क्रम में आम तौर पर मैलवेयर फैलाने के प्रारंभिक चरण के रूप में एलएनके फाइलों वाले आरएआर अभिलेखागार शामिल होते हैं। संदेश संभावित लक्ष्यों को उनकी रुचि के अनुरूप विषयों पर धोखाधड़ी वाले वेबिनार में भाग लेने के लिए प्रोत्साहित करते हैं। एक देखे गए मल्टी-स्टेज संक्रमण परिदृश्य में, BASICSTAR और KORKULOADER, पॉवरशेल डाउनलोडर स्क्रिप्ट को तैनात किया गया था।
बेसिकस्टार मैलवेयर समझौता किए गए सिस्टम से संवेदनशील जानकारी एकत्र करता है
बेसिकस्टार, जिसे विज़ुअल बेसिक स्क्रिप्ट (वीबीएस) मैलवेयर के रूप में पहचाना जाता है, मौलिक सिस्टम जानकारी एकत्र करने, कमांड-एंड-कंट्रोल (सी 2) सर्वर से रिमोट कमांड निष्पादित करने और एक डिकॉय पीडीएफ फाइल को डाउनलोड करने और प्रस्तुत करने जैसी क्षमताओं को प्रदर्शित करता है।
इसके अलावा, कुछ फ़िशिंग हमलों को लक्षित मशीन के ऑपरेटिंग सिस्टम के आधार पर अलग-अलग बैकडोर प्रदान करने के लिए रणनीतिक रूप से डिज़ाइन किया गया है। विंडोज़ का उपयोग करने वाले पीड़ितों को पावरलेस के माध्यम से समझौता करना पड़ता है। उसी समय, Apple macOS उपयोगकर्ता NokNok में परिणत होने वाली एक संक्रमण श्रृंखला के संपर्क में आते हैं, जो एम्बेडेड मैलवेयर वाले एक कार्यात्मक वीपीएन एप्लिकेशन द्वारा सुगम होती है।
शोधकर्ताओं का कहना है कि खतरा पैदा करने वाला अपने लक्ष्यों की निगरानी करने के लिए उच्च स्तर की प्रतिबद्धता प्रदर्शित करता है, जिसका लक्ष्य हेरफेर और मैलवेयर तैनाती के सबसे प्रभावी तरीकों को समझना है। इसके अलावा, चार्मिंगकिटन लगातार कई अभियान शुरू करके और अपनी चल रही पहलों का समर्थन करने के लिए मानव ऑपरेटरों को तैनात करके अन्य खतरनाक अभिनेताओं के बीच खड़ा है।
