BASICSTAR Backdoor
Ang banta ng aktor na si Charming Kitten, na nagmula sa Iran at kilala rin bilang APT35, CharmingCypress, Mint Sandstorm, TA453, at Yellow Garuda, ay na-link kamakailan sa isang serye ng mga bagong pag-atake na nagta-target sa mga eksperto sa patakaran sa Middle East. Kasama sa mga pag-atakeng ito ang paggamit ng isang bagong backdoor na pinangalanang BASICSTAR, na na-deploy sa pamamagitan ng paglikha ng isang mapanlinlang na webinar portal.
Ang Charming Kitten ay may track record sa pagsasagawa ng magkakaibang mga social engineering campaign, na gumagamit ng mga taktika na malawakang nagta-target ng iba't ibang entity, kabilang ang mga think tank, non-government organization (NGO), at mga mamamahayag.
Talaan ng mga Nilalaman
Gumagamit ang Mga Cybercriminal ng Iba't ibang Taktika sa Phishing para Ikompromiso ang mga Biktima
Ang CharmingKitten ay madalas na gumagamit ng hindi kinaugalian na mga diskarte sa social-engineering, tulad ng pakikipag-ugnayan sa mga target sa matagal na pag-uusap sa email bago magpakilala ng mga link sa hindi ligtas na nilalaman. Ibinunyag ng Microsoft na ang mga kilalang indibidwal na nagtatrabaho sa mga gawain sa Middle Eastern ay pinili ng banta ng aktor na ito na magpakalat ng malware tulad ng MischiefTut at MediaPl (kilala rin bilang EYEGLASS), na idinisenyo upang kunin ang sensitibong impormasyon mula sa mga nakompromisong host.
Ang grupo, na pinaniniwalaang nauugnay sa Islamic Revolutionary Guard Corps (IRGC) ng Iran, ay namahagi ng iba't ibang backdoors, kabilang ang PowerLess, BellaCiao, POWERSTAR (aka GorjolEcho), at NokNok , sa nakalipas na taon. Binibigyang-diin nito ang kanilang pangako na magpatuloy sa kanilang mga pag-atake sa cyber, pag-angkop ng mga taktika at pamamaraan sa kabila ng paglantad sa publiko.
Nagpapanggap ang mga Attacker bilang Mga Lehitimong Entidad para Manlinlang ng mga Biktima
Ang mga pag-atake ng phishing sa ilalim ng masusing pagsisiyasat ay kinasasangkutan ng mga operator ng Charming Kitten na gumagamit ng pagkukunwari ng Rasanah International Institute for Iranian Studies (IIIS) upang simulan at itatag ang tiwala sa kanilang mga target.
Ang mga pagtatangkang phishing na ito ay kapansin-pansin sa paggamit ng mga nakompromisong email account mula sa mga lehitimong contact, pati na rin ang maraming email account sa ilalim ng kontrol ng aktor ng pagbabanta, isang kasanayang kilala bilang Multi-Persona Impersonation (MPI).
Ang mga pagkakasunud-sunod ng pag-atake ay karaniwang nagsasangkot ng mga RAR archive na naglalaman ng mga LNK file bilang paunang hakbang sa pagpapalaganap ng malware. Hinihikayat ng mga mensahe ang mga potensyal na target na lumahok sa isang mapanlinlang na webinar sa mga paksang iniayon sa kanilang mga interes. Sa isang naobserbahang multi-stage na senaryo ng impeksyon, ang BASICSTAR at KORKULOADER, PowerShell downloader script, ay na-deploy.
Ang BASICSTAR Malware ay Nangongolekta ng Sensitibong Impormasyon mula sa Mga Nakompromisong System
Ang BASICSTAR, na kinilala bilang isang Visual Basic Script (VBS) malware, ay nagpapakita ng mga kakayahan tulad ng pagkolekta ng pangunahing impormasyon ng system, pagpapatupad ng mga malalayong command mula sa isang Command-and-Control (C2) server at pag-download at pagpapakita ng decoy na PDF file.
Higit pa rito, ang ilang mga pag-atake sa phishing ay madiskarteng idinisenyo upang maghatid ng mga natatanging backdoor batay sa operating system ng naka-target na makina. Ang mga biktima na gumagamit ng Windows ay napapailalim sa kompromiso sa pamamagitan ng POWERLESS. Kasabay nito, ang mga gumagamit ng Apple macOS ay nalantad sa isang chain ng impeksyon na nagtatapos sa NokNok, na pinadali ng isang functional VPN application na naglalaman ng naka-embed na malware.
Sinasabi ng mga mananaliksik na ang aktor ng pagbabanta ay nagpapakita ng mataas na antas ng pangako sa pagsubaybay sa kanilang mga target, na naglalayong malaman ang pinakamabisang paraan ng pagmamanipula at pag-deploy ng malware. Bukod dito, namumukod-tangi ang CharmingKitten sa iba pang mga banta sa pamamagitan ng patuloy na paglulunsad ng maraming kampanya at pag-deploy ng mga human operator upang suportahan ang kanilang mga patuloy na inisyatiba.
