BASICSTAR Porta sul retro
L'autore della minaccia Charming Kitten, originario dell'Iran e noto anche come APT35, CharmingCypress, Mint Sandstorm, TA453 e Yellow Garuda, è stato recentemente collegato a una serie di nuovi attacchi contro esperti di politica del Medio Oriente. Questi attacchi comportano l'uso di una nuova backdoor denominata BASICSTAR, che viene implementata attraverso la creazione di un portale webinar fraudolento.
Charming Kitten ha una lunga esperienza nella conduzione di diverse campagne di ingegneria sociale, impiegando tattiche che prendono di mira ampiamente varie entità, tra cui think tank, organizzazioni non governative (ONG) e giornalisti.
Sommario
I criminali informatici utilizzano varie tattiche di phishing per compromettere le vittime
CharmingKitten utilizza spesso tecniche non convenzionali di ingegneria sociale, come coinvolgere gli obiettivi in conversazioni e-mail prolungate prima di introdurre collegamenti a contenuti non sicuri. Microsoft ha rivelato che individui importanti che lavorano negli affari del Medio Oriente sono stati individuati da questo attore di minacce per diffondere malware come MischiefTut e MediaPl (noto anche come EYEGLASS), progettati per estrarre informazioni sensibili da host compromessi.
Il gruppo, ritenuto associato al Corpo delle Guardie rivoluzionarie islamiche iraniane (IRGC), ha distribuito varie altre backdoor, tra cui PowerLess, BellaCiao, POWERSTAR (alias GorjolEcho) e NokNok , nell'ultimo anno. Ciò sottolinea il loro impegno a persistere nei loro attacchi informatici, adattando tattiche e metodi nonostante siano stati pubblicamente denunciati.
Gli aggressori si presentano come entità legittime per ingannare le vittime
Gli attacchi di phishing sotto esame hanno coinvolto gli operatori di Charming Kitten che hanno adottato le sembianze del Rasanah International Institute for Iran Studies (IIIS) per avviare e stabilire un rapporto di fiducia con i loro obiettivi.
Questi tentativi di phishing si distinguono per l'utilizzo di account e-mail compromessi di contatti legittimi, nonché di più account e-mail sotto il controllo dell'autore della minaccia, una pratica nota come Multi-Persona Impersonation (MPI).
Le sequenze di attacco coinvolgono in genere archivi RAR contenenti file LNK come passo iniziale per diffondere malware. I messaggi incoraggiano potenziali obiettivi a partecipare a un webinar fraudolento su argomenti adattati ai loro interessi. In uno scenario di infezione a più fasi osservato, sono stati distribuiti BASICSTAR e KORKULOADER, script di downloader di PowerShell.
Il malware BASICSTAR raccoglie informazioni sensibili da sistemi compromessi
BASICSTAR, identificato come malware Visual Basic Script (VBS), presenta funzionalità come la raccolta di informazioni fondamentali sul sistema, l'esecuzione di comandi remoti da un server Command-and-Control (C2) e il download e la presentazione di un file PDF esca.
Inoltre, alcuni attacchi di phishing sono progettati strategicamente per fornire backdoor distinte in base al sistema operativo della macchina presa di mira. Le vittime che utilizzano Windows sono soggette a compromissioni tramite POWERLESS. Allo stesso tempo, gli utenti di Apple macOS sono esposti a una catena di infezioni che culmina in NokNok, facilitata da un'applicazione VPN funzionale contenente malware incorporato.
I ricercatori affermano che l’autore della minaccia dimostra un alto livello di impegno nel sorvegliare i propri obiettivi, con l’obiettivo di discernere i metodi più efficaci di manipolazione e distribuzione del malware. Inoltre, CharmingKitten si distingue tra gli altri autori di minacce lanciando costantemente numerose campagne e impiegando operatori umani per supportare le loro iniziative in corso.
