BASICSTAR Backdoor
Глумац претњи Шармантно маче, пореклом из Ирана и такође познат као АПТ35, ЦхармингЦипресс, Минт Сандсторм, ТА453 и Иеллов Гаруда, недавно је повезан са низом нових напада усмерених на стручњаке за политику Блиског истока. Ови напади укључују коришћење новог бацкдоор-а под називом БАСИЦСТАР, који се примењује кроз креирање лажног портала за вебинаре.
Шармантно маче има искуство у спровођењу различитих кампања социјалног инжењеринга, користећи тактике које су у великој мери циљане на различите субјекте, укључујући трустове мозгова, невладине организације (НВО) и новинаре.
Преглед садржаја
Сајбер криминалци користе различите тактике пхисхинга да компромитују жртве
ЦхармингКиттен често користи неконвенционалне технике друштвеног инжењеринга, као што је ангажовање мета у продуженим разговорима путем е-поште пре увођења линкова до небезбедног садржаја. Мицрософт је открио да је овај актер претње издвојио значајне појединце који раде на блискоисточним пословима да шире малвер као што су МисцхиефТут и МедиаПл (такође познат као ЕИЕГЛАСС), дизајниран да извуче осетљиве информације са компромитованих хостова.
Група, за коју се верује да је повезана са иранском Исламском револуционарном гардом (ИРГЦ), дистрибуирала је разне друге бекдоре, укључујући ПоверЛесс, БеллаЦиао, ПОВЕРСТАР (ака ГорјолЕцхо) и НокНок , током прошле године. Ово наглашава њихову посвећеност да истрају у својим сајбер нападима, прилагођавајући тактике и методе упркос томе што су јавно изложени.
Нападачи се представљају као легитимни субјекти да преваре жртве
Напади пхисхинг-а који су под лупом укључивали су оператере Цхарминг Киттен који су прихватили маску Међународног института за иранске студије Расана (ИИИС) како би покренули и успоставили поверење са својим метама.
Ови покушаји крађе идентитета су значајни по коришћењу компромитованих налога е-поште од легитимних контаката, као и вишеструких налога е-поште под контролом актера претње, што је пракса позната као лажно представљање за више особа (МПИ).
Секвенце напада обично укључују РАР архиве које садрже ЛНК датотеке као почетни корак за ширење малвера. Поруке подстичу потенцијалне мете да учествују у лажном вебинару о темама прилагођеним њиховим интересовањима. У једном уоченом сценарију заразе у више фаза, БАСИЦСТАР и КОРКУЛОАДЕР, ПоверСхелл скрипте за преузимање, биле су распоређене.
БАСИЦСТАР малвер прикупља осетљиве информације од компромитованих система
БАСИЦСТАР, идентификован као малвер Висуал Басиц Сцрипт (ВБС), показује могућности као што су прикупљање основних системских информација, извршавање даљинских команди са сервера за команду и контролу (Ц2) и преузимање и представљање лажне ПДФ датотеке.
Штавише, одређени пхисхинг напади су стратешки дизајнирани да испоруче различите бацкдоор засноване на оперативном систему циљане машине. Жртве које користе Виндовс су подвргнуте компромису кроз НЕМОЋНИ. У исто време, корисници Аппле мацОС-а изложени су ланцу инфекције који кулминира у НокНок-у, уз помоћ функционалне ВПН апликације која садржи уграђени малвер.
Истраживачи наводе да актер претње показује висок ниво посвећености надгледању својих мета, са циљем да уочи најефикасније методе манипулације и примене малвера. Штавише, ЦхармингКиттен се истиче међу осталим актерима претњи по доследном покретању бројних кампања и распоређивању људских оператера да подрже њихове текуће иницијативе.
