BASICSTAR Aizmugures durvis
Draudu aktieris Charming Kitten, kura izcelsme ir Irānā un pazīstams arī kā APT35, CharmingCypress, Mint Sandstorm, TA453 un Yellow Garuda, nesen tika saistīts ar vairākiem jauniem uzbrukumiem, kuru mērķis ir Tuvo Austrumu politikas eksperti. Šajos uzbrukumos tiek izmantotas jaunas aizmugures durvis ar nosaukumu BASICSTAR, kas tiek izvietota, izveidojot krāpniecisku tīmekļa semināru portālu.
Burvīgajam Kittenam ir pieredze dažādu sociālās inženierijas kampaņu vadīšanā, izmantojot taktikas, kas plaši vērstas uz dažādām organizācijām, tostarp ideju laboratorijām, nevalstiskām organizācijām (NVO) un žurnālistiem.
Satura rādītājs
Kibernoziedznieki izmanto dažādas pikšķerēšanas taktikas, lai apdraudētu upurus
CharmingKitten bieži izmanto netradicionālas sociālās inženierijas metodes, piemēram, iesaistot mērķus ilgstošās e-pasta sarunās, pirms tiek ieviestas saites uz nedrošu saturu. Korporācija Microsoft ir atklājusi, ka šis apdraudējuma dalībnieks ir izraudzījis ievērojamas personas, kas strādā ar Tuvo Austrumu lietām, lai izplatītu tādas ļaunprātīgas programmatūras kā MischiefTut un MediaPl (pazīstamas arī kā EYEGLASS), kas paredzētas sensitīvas informācijas iegūšanai no apdraudētiem saimniekiem.
Grupa, kas, domājams, ir saistīta ar Irānas Islāma revolūcijas gvardes korpusu (IRGC), pēdējā gada laikā ir izplatījusi dažādas citas aizmugures durvis, tostarp PowerLess, BellaCiao, POWERSTAR (aka GorjolEcho) un NokNok . Tas uzsver viņu apņemšanos turpināt kiberuzbrukumus, pielāgojot taktiku un metodes, neskatoties uz to, ka tie tiek atklāti.
Uzbrucēji uzdodas kā likumīgas personas, lai apmānītu upurus
Pārbaudītajos pikšķerēšanas uzbrukumos bija iesaistīti Charming Kitten operatori, kas izmantoja Rasanah International Institute for Iranan Studies (IIIS) aizsegu, lai uzsāktu un izveidotu uzticību saviem mērķiem.
Šie pikšķerēšanas mēģinājumi ir nozīmīgi, jo tiek izmantoti uzlauzti e-pasta konti no likumīgām kontaktpersonām, kā arī vairāki e-pasta konti, ko kontrolē apdraudējuma dalībnieks. Šī prakse ir pazīstama kā vairāku personu uzdošanās (MPI).
Uzbrukumu sekvences parasti ietver RAR arhīvus, kas satur LNK failus, kā pirmo soli ļaunprātīgas programmatūras izplatīšanai. Ziņojumi mudina potenciālos mērķus piedalīties krāpnieciskā tīmekļa seminārā par viņu interesēm pielāgotām tēmām. Vienā novērotajā daudzpakāpju infekcijas scenārijā tika izvietoti PowerShell lejupielādētāja skripti BASICSTAR un KORKULOADER.
BASICSTAR ļaunprogrammatūra apkopo sensitīvu informāciju no apdraudētām sistēmām
BASICSTAR, kas identificēts kā Visual Basic Script (VBS) ļaunprogrammatūra, piedāvā tādas iespējas kā sistēmas pamatinformācijas apkopošana, attālo komandu izpilde no Command-and-Control (C2) servera un mānekļa PDF faila lejupielāde un prezentēšana.
Turklāt daži pikšķerēšanas uzbrukumi ir stratēģiski izstrādāti, lai nodrošinātu atšķirīgas aizmugures durvis, pamatojoties uz mērķētās mašīnas operētājsistēmu. Upuri, kas izmanto Windows, tiek pakļauti kompromisiem, izmantojot POWERLESS. Tajā pašā laikā Apple macOS lietotāji ir pakļauti infekcijas ķēdei, kuras kulminācija ir NokNok, ko veicina funkcionāla VPN lietojumprogramma, kurā ir iegulta ļaunprātīga programmatūra.
Pētnieki norāda, ka apdraudējuma dalībnieks demonstrē augstu apņemšanos uzraudzīt savus mērķus, cenšoties noteikt visefektīvākās manipulācijas un ļaunprātīgas programmatūras izvietošanas metodes. Turklāt CharmingKitten izceļas citu apdraudējuma dalībnieku vidū, konsekventi uzsākot daudzas kampaņas un izvietojot cilvēkus, lai atbalstītu viņu pastāvīgās iniciatīvas.
