BASICSTAR Backdoor
Actorul de amenințări Charming Kitten, originar din Iran și cunoscut și sub numele de APT35, CharmingCypress, Mint Sandstorm, TA453 și Yellow Garuda, a fost recent legat de o serie de noi atacuri care vizează experții politici din Orientul Mijlociu. Aceste atacuri implică utilizarea unei noi uși din spate numită BASICSTAR, care este implementată prin crearea unui portal de webinar fraudulos.
Charming Kitten are o experiență de desfășurare a diverselor campanii de inginerie socială, folosind tactici care vizează pe scară largă diverse entități, inclusiv grupuri de reflecție, organizații neguvernamentale (ONG-uri) și jurnaliști.
Cuprins
Criminalii cibernetici folosesc diverse tactici de phishing pentru a compromite victimele
CharmingKitten utilizează frecvent tehnici neconvenționale de inginerie socială, cum ar fi implicarea țintelor în conversații prelungite prin e-mail înainte de a introduce linkuri către conținut nesigur. Microsoft a dezvăluit că persoane de seamă care lucrează în afaceri din Orientul Mijlociu au fost identificate de acest actor de amenințare pentru a disemina programe malware precum MischiefTut și MediaPl (cunoscute și sub numele de EYEGLASS), concepute pentru a extrage informații sensibile de la gazdele compromise.
Grupul, despre care se crede că este asociat cu Corpul Gărzilor Revoluționare Islamice (IRGC) din Iran, a distribuit diverse alte uși din spate, inclusiv PowerLess, BellaCiao, POWERSTAR (alias GorjolEcho) și NokNok , în ultimul an. Acest lucru subliniază angajamentul lor de a persista în atacurile lor cibernetice, adaptând tactici și metode, în ciuda faptului că au fost expuși public.
Atacatorii se prezintă drept entități legitime pentru a păcăli victimele
Atacurile de phishing supuse controlului au implicat operatorii Charming Kitten care au adoptat masca Institutului Internațional Rasanah pentru Studii Iraniene (IIIS) pentru a iniția și a stabili încredere cu țintele lor.
Aceste încercări de phishing sunt remarcabile pentru utilizarea conturilor de e-mail compromise de la contacte legitime, precum și a mai multor conturi de e-mail aflate sub controlul actorului amenințării, o practică cunoscută sub numele de uzurpare a mai multor persoane (MPI).
Secvențele de atac implică de obicei arhive RAR care conțin fișiere LNK ca pas inițial pentru a disemina malware. Mesajele încurajează potențialele ținte să participe la un webinar fraudulos pe subiecte adaptate intereselor lor. Într-un scenariu observat de infecție în mai multe etape, au fost implementate BASICSTAR și KORKULOADER, scripturi de descărcare PowerShell.
Programul malware BASICSTAR colectează informații sensibile din sistemele compromise
BASICSTAR, identificat ca un program malware Visual Basic Script (VBS), prezintă capacități precum colectarea informațiilor fundamentale ale sistemului, executarea comenzilor de la distanță de pe un server Command-and-Control (C2) și descărcarea și prezentarea unui fișier PDF momeală.
În plus, anumite atacuri de tip phishing sunt concepute strategic pentru a oferi uși din spate distincte bazate pe sistemul de operare al mașinii vizate. Victimele care folosesc Windows sunt supuse unui compromis prin POWERLESS. În același timp, utilizatorii Apple macOS sunt expuși unui lanț de infecții care culminează cu NokNok, facilitat de o aplicație VPN funcțională care conține malware încorporat.
Cercetătorii afirmă că actorul amenințării demonstrează un nivel ridicat de angajament în supravegherea țintelor lor, urmărind să discearnă cele mai eficiente metode de manipulare și de implementare a malware. În plus, CharmingKitten se remarcă printre alți actori amenințări prin lansarea constantă a numeroase campanii și prin desfășurarea de operatori umani pentru a-și susține inițiativele în curs.
