BASICSTAR Arka Kapı
İran kökenli ve APT35, CharmingCypress, Mint Sandstorm, TA453 ve Yellow Garuda olarak da bilinen tehdit aktörü Charming Kitten, yakın zamanda Orta Doğu politika uzmanlarını hedef alan bir dizi yeni saldırıyla ilişkilendirildi. Bu saldırılar, sahte bir web semineri portalının oluşturulması yoluyla dağıtılan BASICSTAR adlı yeni bir arka kapının kullanılmasını içeriyor.
Charming Kitten'ın çeşitli sosyal mühendislik kampanyaları yürütme ve düşünce kuruluşları, sivil toplum kuruluşları (STK'lar) ve gazeteciler dahil olmak üzere çeşitli kuruluşları kapsamlı bir şekilde hedef alan taktikler kullanma konusunda bir geçmişi var.
İçindekiler
Siber Suçlular Kurbanların Güvenliğini Ele Geçirmek İçin Çeşitli Kimlik Avı Taktikleri Kullanıyor
CharmingKitten, güvenli olmayan içeriğe bağlantılar sunmadan önce hedefleri uzun e-posta konuşmalarına dahil etmek gibi alışılmadık sosyal mühendislik tekniklerini sıklıkla kullanıyor. Microsoft, Orta Doğu meseleleri üzerinde çalışan önemli kişilerin, bu tehdit aktörü tarafından ele geçirilen ana bilgisayarlardan hassas bilgileri almak üzere tasarlanan MischiefTut ve MediaPl (EYEGLASS olarak da bilinir) gibi kötü amaçlı yazılımları yaymak üzere seçildiğini açıkladı.
İran'ın İslam Devrim Muhafızları Birliği (IRGC) ile ilişkili olduğuna inanılan grup, geçen yıl PowerLess, BellaCiao, POWERSTAR (diğer adıyla GorjolEcho) ve NokNok dahil olmak üzere çeşitli arka kapılar dağıttı. Bu, kamuya açık olmasına rağmen taktik ve yöntemleri uyarlayarak siber saldırılarını sürdürme konusundaki kararlılıklarının altını çiziyor.
Saldırganlar Mağdurları Kandırmak İçin Meşru Varlıklar Gibi Davranıyor
İncelenen kimlik avı saldırıları, Charming Kitten operatörlerinin, Rasanah Uluslararası İran Çalışmaları Enstitüsü (IIIS) kılığına girerek hedeflerine güven oluşturmasını ve bu kişiler arasında güven oluşturmasını içeriyordu.
Bu kimlik avı girişimleri, meşru kişilerden gelen ele geçirilmiş e-posta hesaplarının yanı sıra, Çoklu Kişiliğe Kimliğe Bürünme (MPI) olarak bilinen bir uygulama olan, tehdit aktörünün kontrolü altındaki birden fazla e-posta hesabının kullanılması açısından dikkate değerdir.
Saldırı dizileri genellikle kötü amaçlı yazılımı yaymanın ilk adımı olarak LNK dosyalarını içeren RAR arşivlerini içerir. Mesajlar, potansiyel hedefleri kendi ilgi alanlarına göre hazırlanmış konularda sahte bir web seminerine katılmaya teşvik ediyor. Gözlemlenen çok aşamalı bir enfeksiyon senaryosunda BASICSTAR ve KORKULOADER, PowerShell indirici komut dosyaları devreye alındı.
BASICSTAR Kötü Amaçlı Yazılımı Güvenliği Tehlikeye Girmiş Sistemlerden Hassas Bilgiler Topluyor
Bir Visual Basic Komut Dosyası (VBS) kötü amaçlı yazılımı olarak tanımlanan BASICSTAR, temel sistem bilgilerini toplama, bir Komuta ve Kontrol (C2) sunucusundan uzaktan komutları yürütme ve sahte bir PDF dosyası indirip sunma gibi yetenekler sergiliyor.
Ayrıca, belirli kimlik avı saldırıları, hedeflenen makinenin işletim sistemine bağlı olarak farklı arka kapılar sunacak şekilde stratejik olarak tasarlanmıştır. Windows kullanan mağdurlar POWERLESS aracılığıyla uzlaşmaya maruz kalıyor. Aynı zamanda, Apple macOS kullanıcıları, yerleşik kötü amaçlı yazılım içeren işlevsel bir VPN uygulamasının kolaylaştırdığı, NokNok'la sonuçlanan bir enfeksiyon zincirine maruz kalıyor.
Araştırmacılar, tehdit aktörünün, en etkili manipülasyon ve kötü amaçlı yazılım yayılım yöntemlerini ayırt etmeyi hedefleyerek hedeflerini gözetleme konusunda yüksek düzeyde kararlılık gösterdiğini belirtiyor. Üstelik CharmingKitten, sürekli olarak çok sayıda kampanya başlatarak ve devam eden girişimlerini desteklemek için insan operatörleri görevlendirerek diğer tehdit aktörleri arasında öne çıkıyor.
