BASICSTAR užpakalinės durys
Grėsmių aktorius Charming Kitten, kilęs iš Irano ir dar žinomas kaip APT35, CharmingCypress, Mint Sandstorm, TA453 ir Yellow Garuda, neseniai buvo siejamas su keletu naujų išpuolių, nukreiptų prieš Artimųjų Rytų politikos ekspertus. Šios atakos apima naujų užpakalinių durų, pavadintų BASICSTAR, naudojimą, kuris yra įdiegtas sukuriant apgaulingą internetinių seminarų portalą.
„Charming Kitten“ turi patirties vykdant įvairias socialinės inžinerijos kampanijas, taikant taktiką, kuri plačiai taikoma įvairiems subjektams, įskaitant ekspertų grupes, nevyriausybines organizacijas (NVO) ir žurnalistus.
Turinys
Kibernetiniai nusikaltėliai naudoja įvairias sukčiavimo taktikas, kad sukompromituotų aukas
CharmingKitten dažnai naudoja netradicinius socialinės inžinerijos metodus, pavyzdžiui, įtraukia taikinius į ilgalaikius pokalbius el. paštu prieš įtraukdama nuorodas į nesaugų turinį. „Microsoft“ atskleidė, kad šis grėsmės veikėjas išskyrė žymius asmenis, dirbančius su Artimųjų Rytų reikalais, platinančius kenkėjiškas programas, tokias kaip „MischiefTut“ ir „MediaPl“ (taip pat žinomas kaip „EYEGLASS“), skirtas išgauti neskelbtiną informaciją iš pažeistų kompiuterių.
Manoma, kad grupė, kuri, kaip manoma, yra susijusi su Irano Islamo revoliucijos gvardijos korpusu (IRGC), per pastaruosius metus platino įvairias kitas užpakalines duris, įskaitant PowerLess, BellaCiao, POWERSTAR (dar žinomas kaip GorjolEcho) ir NokNok . Tai pabrėžia jų įsipareigojimą ir toliau vykdyti kibernetines atakas, pritaikyti taktiką ir metodus, nepaisant to, kad tai viešai atskleista.
Užpuolikai prisistato kaip teisėti subjektai, norėdami apgauti aukas
Nagrinėjamuose sukčiavimo išpuoliuose „Charming Kitten“ operatoriai prisidėjo prie Rasanos tarptautinio Irano studijų instituto (IIIS), kad inicijuotų ir sukurtų pasitikėjimą savo taikiniais.
Šie sukčiavimo bandymai pastebimi tuo, kad naudojasi pažeistų el. pašto paskyrų iš teisėtų kontaktų, taip pat kelių el. pašto paskyrų, kurias kontroliuoja grėsmės veikėjas. Ši praktika žinoma kaip apsimetinėjimas keliais asmenimis (MPI).
Atakų sekos paprastai apima RAR archyvus, kuriuose yra LNK failų, kaip pradinį kenkėjiškų programų platinimo veiksmą. Pranešimuose potencialūs taikiniai skatinami dalyvauti apgaulingame internetiniame seminare jų pomėgiams pritaikytomis temomis. Viename stebėtame kelių etapų infekcijos scenarijuje buvo įdiegti BASICSTAR ir KORKULOADER, PowerShell atsisiuntimo programos scenarijai.
BASICSTAR kenkėjiška programa renka jautrią informaciją iš pažeistų sistemų
BASICSTAR, identifikuojama kaip „Visual Basic Script“ (VBS) kenkėjiška programa, pasižymi tokiomis galimybėmis kaip pagrindinės sistemos informacijos rinkimas, nuotolinių komandų vykdymas iš komandų ir valdymo (C2) serverio bei viliojančio PDF failo atsisiuntimas ir pateikimas.
Be to, tam tikros sukčiavimo atakos yra strategiškai sukurtos taip, kad pateiktų atskiras užpakalines duris, pagrįstas tikslinės mašinos operacine sistema. Aukos, kurios naudojasi „Windows“, patiria kompromisą dėl POWERLESS. Tuo pačiu metu „Apple macOS“ naudotojai susiduria su infekcijos grandine, kurios kulminacija yra „NokNok“, kurią palengvina funkcionali VPN programa su įterptomis kenkėjiškomis programomis.
Tyrėjai teigia, kad grėsmės veikėjas demonstruoja didelį įsipareigojimą stebėti savo taikinius, siekdamas išsiaiškinti efektyviausius manipuliavimo ir kenkėjiškų programų diegimo būdus. Be to, „CharmingKitten“ išsiskiria iš kitų grėsmę keliančių veikėjų tuo, kad nuosekliai pradeda daugybę kampanijų ir pasitelkia žmones, kurie paremtų jų vykdomas iniciatyvas.
