BASICSTAR hátsó ajtó

Az iráni fenyegetettség szereplőjét, Charming Kittent, akit APT35-nek, CharmingCypress-nek, Mint Sandstorm-nak, TA453-nak és Yellow Garuda-nak is neveznek, a közelmúltban egy sor új, közel-keleti politika szakértőit célzó támadáshoz kapcsolták. Ezek a támadások egy új, BASICSTAR nevű hátsó ajtó használatát foglalják magukban, amelyet egy csaló webinárium portál létrehozásával telepítenek.

A Charming Kitten számos társadalmi tervezési kampányt vezetett, olyan taktikákat alkalmazva, amelyek széles körben megcélozzák a különböző entitásokat, beleértve az agytrösztöket, a nem kormányzati szervezeteket (NGO-kat) és az újságírókat.

A kiberbűnözők különféle adathalász taktikákat alkalmaznak az áldozatok kompromittálására

A CharmingKitten gyakran alkalmaz nem szokványos társadalomfejlesztési technikákat, például célszemélyek bevonását hosszan tartó e-mailes beszélgetésekbe, mielőtt nem biztonságos tartalomra mutató hivatkozásokat vezetne be. A Microsoft nyilvánosságra hozta, hogy ez a fenyegetőző szereplő közel-keleti ügyekkel foglalkozó jelentős személyeket választott ki olyan rosszindulatú programok terjesztésére, mint a MischiefTut és a MediaPl (más néven EYEGLASS), amelyek célja érzékeny információk kinyerése a feltört gazdagépekből.

Az Iráni Iszlám Forradalmi Gárdával (IRGC) kapcsolatban álló csoport számos más hátsó ajtót terjesztett, köztük a PowerLesst, a BellaCiaót, a POWERSTAR-t (más néven GorjolEcho) és a NokNokot az elmúlt évben. Ez alátámasztja elkötelezettségüket amellett, hogy továbbra is a kibertámadások során alkalmazzák a taktikákat és módszereket, annak ellenére, hogy nyilvánosan leleplezték őket.

A támadók törvényes entitásként viselkednek, hogy becsapják az áldozatokat

A vizsgált adathalász támadások során a Charming Kitten üzemeltetői a Rasanah International Institute for Iranian Studies (IIIS) álcáját öltötték magukra, hogy bizalmat kezdeményezzenek célpontjaikkal, és megteremtsék velük a bizalmat.

Ezek az adathalász kísérletek figyelemreméltóak a jogos ismerősöktől származó feltört e-mail fiókok, valamint a fenyegetettséget okozó szereplő irányítása alatt álló több e-mail fiók használatáról. Ezt a gyakorlatot Multi-Persona Impersonation (MPI) néven ismerik.

A támadási sorozatok jellemzően RAR-archívumokat tartalmaznak, amelyek LNK-fájlokat tartalmaznak a rosszindulatú programok terjesztésének kezdeti lépéseként. Az üzenetek arra ösztönzik a potenciális célpontokat, hogy vegyenek részt egy csalárd webináriumon az érdeklődésükre szabott témákról. Az egyik megfigyelt többlépcsős fertőzési forgatókönyvben a BASICSTAR és a KORKULOADER PowerShell letöltő szkriptek kerültek üzembe.

A BASICSTAR malware érzékeny információkat gyűjt a feltört rendszerekről

A Visual Basic Script (VBS) rosszindulatú programként azonosított BASICSTAR olyan képességekkel rendelkezik, mint az alapvető rendszerinformációk összegyűjtése, távoli parancsok végrehajtása a Command-and-Control (C2) szerverről, valamint csali PDF-fájl letöltése és bemutatása.

Ezenkívül bizonyos adathalász támadásokat stratégiailag úgy terveztek, hogy a megcélzott gép operációs rendszere alapján különálló hátsó ajtókat biztosítsanak. A Windowst használó áldozatok a POWERLESS révén kompromisszumoknak vannak kitéve. Ugyanakkor az Apple macOS felhasználók egy fertőzési láncnak vannak kitéve, amely NokNokban csúcsosodik ki, amelyet egy beágyazott rosszindulatú programokat tartalmazó funkcionális VPN-alkalmazás segít.

A kutatók azt állítják, hogy a fenyegetés szereplői magas szintű elkötelezettséget mutatnak a célpontjaik megfigyelése iránt, és célja a manipuláció és a rosszindulatú programok telepítésének leghatékonyabb módszereinek felismerése. Ezenkívül a CharmingKitten kiemelkedik a többi fenyegetettség szereplője közül azzal, hogy folyamatosan számos kampányt indít, és humán kezelőket telepít a folyamatban lévő kezdeményezéseik támogatására.