BASICSTAR Pintu Belakang
Aktor ancaman Charming Kitten, berasal dari Iran dan juga dikenali sebagai APT35, CharmingCypress, Mint Sandstorm, TA453, dan Yellow Garuda, baru-baru ini telah dikaitkan dengan siri serangan baru yang menyasarkan pakar dasar Timur Tengah. Serangan ini melibatkan penggunaan pintu belakang baharu bernama BASICSTAR, yang digunakan melalui penciptaan portal webinar penipuan.
Charming Kitten mempunyai rekod prestasi dalam menjalankan pelbagai kempen kejuruteraan sosial, menggunakan taktik yang menyasarkan pelbagai entiti secara meluas, termasuk badan pemikir, pertubuhan bukan kerajaan (NGO) dan wartawan.
Isi kandungan
Penjenayah Siber Menggunakan Pelbagai Taktik Phishing untuk Mengkompromi Mangsa
CharmingKitten kerap menggunakan teknik kejuruteraan sosial yang tidak konvensional, seperti melibatkan sasaran dalam perbualan e-mel yang berpanjangan sebelum memperkenalkan pautan ke kandungan yang tidak selamat. Microsoft telah mendedahkan bahawa individu terkenal yang bekerja dalam hal ehwal Timur Tengah telah dipilih oleh aktor ancaman ini untuk menyebarkan perisian hasad seperti MischiefTut dan MediaPl (juga dikenali sebagai EYEGLASS), yang direka untuk mengekstrak maklumat sensitif daripada hos yang terjejas.
Kumpulan itu, dipercayai dikaitkan dengan Kor Pengawal Revolusi Islam Iran (IRGC), telah mengedarkan pelbagai pintu belakang lain, termasuk PowerLess, BellaCiao, POWERSTAR (aka GorjolEcho), dan NokNok , sepanjang tahun lalu. Ini menekankan komitmen mereka untuk meneruskan serangan siber mereka, menyesuaikan taktik dan kaedah walaupun didedahkan secara terbuka.
Penyerang Menyamar Sebagai Entiti Sah untuk Menipu Mangsa
Serangan pancingan data di bawah penelitian melibatkan pengendali Charming Kitten yang menggunakan samaran Institut Antarabangsa Rasanah untuk Kajian Iran (IIIS) untuk memulakan dan mewujudkan kepercayaan dengan sasaran mereka.
Percubaan pancingan data ini terkenal kerana menggunakan akaun e-mel yang terjejas daripada kenalan yang sah, serta berbilang akaun e-mel di bawah kawalan pelaku ancaman, satu amalan yang dikenali sebagai Penyamaran Berbilang Orang (MPI).
Urutan serangan biasanya melibatkan arkib RAR yang mengandungi fail LNK sebagai langkah awal untuk menyebarkan perisian hasad. Mesej tersebut menggalakkan sasaran berpotensi untuk mengambil bahagian dalam webinar penipuan mengenai subjek yang disesuaikan dengan minat mereka. Dalam satu senario jangkitan berbilang peringkat yang diperhatikan, BASICSTAR dan KORKULOADER, skrip pemuat turun PowerShell, telah digunakan.
Malware BASICSTAR Mengumpul Maklumat Sensitif daripada Sistem Terkompromi
BASICSTAR, yang dikenal pasti sebagai perisian hasad Visual Basic Script (VBS), mempamerkan keupayaan seperti mengumpul maklumat sistem asas, melaksanakan arahan jauh daripada pelayan Command-and-Control (C2) dan memuat turun dan mempersembahkan fail PDF yang menipu.
Tambahan pula, serangan pancingan data tertentu direka secara strategik untuk menyampaikan pintu belakang yang berbeza berdasarkan sistem pengendalian mesin yang disasarkan. Mangsa yang menggunakan Windows tertakluk kepada kompromi melalui POWERLESS. Pada masa yang sama, pengguna Apple macOS terdedah kepada rantaian jangkitan yang memuncak dalam NokNok, difasilitasi oleh aplikasi VPN berfungsi yang mengandungi perisian hasad terbenam.
Penyelidik menyatakan bahawa pelaku ancaman menunjukkan tahap komitmen yang tinggi untuk mengawasi sasaran mereka, bertujuan untuk membezakan kaedah manipulasi dan penggunaan perisian hasad yang paling berkesan. Selain itu, CharmingKitten menyerlah di kalangan pelaku ancaman lain dengan melancarkan banyak kempen secara konsisten dan mengerahkan pengendali manusia untuk menyokong inisiatif berterusan mereka.
