ประตูหลัง BASICSTAR

นักแสดงภัยคุกคาม Charming Kitty ซึ่งมีต้นกำเนิดมาจากอิหร่านและรู้จักกันในชื่อ APT35, CharmingCypress, Mint Sandstorm, TA453 และ Yellow Garuda เพิ่งถูกเชื่อมโยงกับการโจมตีครั้งใหม่ที่มีเป้าหมายไปที่ผู้เชี่ยวชาญด้านนโยบายในตะวันออกกลาง การโจมตีเหล่านี้เกี่ยวข้องกับการใช้แบ็คดอร์ใหม่ชื่อ BASICSTAR ซึ่งใช้งานผ่านการสร้างพอร์ทัลการสัมมนาผ่านเว็บที่ฉ้อโกง

Charming Kitty มีประวัติการดำเนินงานแคมเปญวิศวกรรมสังคมที่หลากหลาย โดยใช้กลยุทธ์ที่กำหนดเป้าหมายองค์กรต่างๆ อย่างกว้างขวาง รวมถึงสถาบันวิจัย องค์กรพัฒนาเอกชน (NGO) และนักข่าว

อาชญากรไซเบอร์ใช้กลวิธีฟิชชิ่งต่างๆ เพื่อประนีประนอมเหยื่อ

CharmingKitten มักใช้เทคนิควิศวกรรมสังคมที่แปลกใหม่ เช่น การมีส่วนร่วมของเป้าหมายในการสนทนาทางอีเมลที่ยืดเยื้อ ก่อนที่จะแนะนำลิงก์ไปยังเนื้อหาที่ไม่ปลอดภัย Microsoft ได้เปิดเผยว่าบุคคลที่มีชื่อเสียงที่ทำงานในตะวันออกกลางถูกแยกออกมาโดยผู้คุกคามรายนี้เพื่อเผยแพร่มัลแวร์เช่น MischiefTut และ MediaPl (หรือที่รู้จักในชื่อ EYEGLASS) ซึ่งออกแบบมาเพื่อดึงข้อมูลที่ละเอียดอ่อนจากโฮสต์ที่ถูกบุกรุก

กลุ่มนี้ซึ่งเชื่อว่ามีความเกี่ยวข้องกับกองกำลังพิทักษ์การปฏิวัติอิสลาม (IRGC) ของอิหร่าน ได้แจกจ่ายแบ็คดอร์อื่นๆ มากมาย รวมถึง PowerLess, BellaCiao, POWERSTAR (aka GorjolEcho) และ NokNok ในปีที่ผ่านมา สิ่งนี้ตอกย้ำความมุ่งมั่นของพวกเขาที่จะยืนหยัดในการโจมตีทางไซเบอร์ โดยปรับกลยุทธ์และวิธีการต่างๆ แม้ว่าจะเปิดเผยต่อสาธารณะแล้วก็ตาม

ผู้โจมตีปลอมตัวเป็นนิติบุคคลที่ถูกต้องตามกฎหมายเพื่อหลอกเหยื่อ

การโจมตีแบบฟิชชิ่งภายใต้การตรวจสอบอย่างละเอียดนั้นเกี่ยวข้องกับผู้ให้บริการ Charming Kitty ที่ใช้หน้ากากของสถาบันนานาชาติ Rasanah เพื่อการศึกษาอิหร่าน (IIIS) เพื่อเริ่มต้นและสร้างความไว้วางใจกับเป้าหมายของพวกเขา

ความพยายามฟิชชิ่งเหล่านี้มีความโดดเด่นในการใช้บัญชีอีเมลที่ถูกบุกรุกจากผู้ติดต่อที่ถูกกฎหมาย เช่นเดียวกับบัญชีอีเมลหลายบัญชีภายใต้การควบคุมของผู้คุกคาม วิธีปฏิบัติที่เรียกว่า Multi-Persona Impersonation (MPI)

ลำดับการโจมตีมักเกี่ยวข้องกับไฟล์ RAR ที่มีไฟล์ LNK เป็นขั้นตอนเริ่มต้นในการเผยแพร่มัลแวร์ ข้อความดังกล่าวสนับสนุนให้เป้าหมายที่มีศักยภาพเข้าร่วมในการสัมมนาผ่านเว็บที่ฉ้อโกงในหัวข้อที่ปรับให้เหมาะกับความสนใจของพวกเขา ในสถานการณ์การติดไวรัสแบบหลายขั้นตอนที่สังเกตได้ ได้มีการปรับใช้ BASICSTAR และ KORKULOADER ซึ่งเป็นสคริปต์ดาวน์โหลด PowerShell

มัลแวร์ BASICSTAR รวบรวมข้อมูลที่ละเอียดอ่อนจากระบบที่ถูกบุกรุก

BASICSTAR ซึ่งถูกระบุว่าเป็นมัลแวร์ Visual Basic Script (VBS) จัดแสดงความสามารถต่างๆ เช่น การรวบรวมข้อมูลระบบพื้นฐาน การดำเนินการคำสั่งระยะไกลจากเซิร์ฟเวอร์ Command-and-Control (C2) และการดาวน์โหลดและการนำเสนอไฟล์ PDF ล่อ

นอกจากนี้ การโจมตีแบบฟิชชิ่งบางอย่างได้รับการออกแบบอย่างมีกลยุทธ์เพื่อส่งแบ็คดอร์ที่แตกต่างกันตามระบบปฏิบัติการของเครื่องเป้าหมาย ผู้ที่ตกเป็นเหยื่อที่ใช้ Windows จะถูกประนีประนอมผ่าน POWERLESS ในเวลาเดียวกัน ผู้ใช้ Apple macOS ต้องเผชิญกับห่วงโซ่การติดไวรัสซึ่งถึงจุดสุดยอดใน NokNok ซึ่งอำนวยความสะดวกโดยแอปพลิเคชัน VPN ที่ใช้งานได้ซึ่งมีมัลแวร์ฝังตัวอยู่

นักวิจัยระบุว่าผู้คุกคามแสดงให้เห็นถึงความมุ่งมั่นในระดับสูงในการสำรวจเป้าหมายโดยมีเป้าหมายที่จะแยกแยะวิธีการจัดการและการติดตั้งมัลแวร์ที่มีประสิทธิภาพสูงสุด นอกจากนี้ CharmingKitten ยังโดดเด่นเหนือผู้แสดงภัยคุกคามด้วยการเปิดตัวแคมเปญจำนวนมากอย่างต่อเนื่อง และปรับใช้ผู้ปฏิบัติงานที่เป็นมนุษย์เพื่อสนับสนุนความคิดริเริ่มที่กำลังดำเนินอยู่