Бекдор BASICSTAR
Загрозливий персонаж Charming Kitten, який походить з Ірану і також відомий як APT35, CharmingCypress, Mint Sandstorm, TA453 і Yellow Garuda, нещодавно був пов’язаний із серією нових атак, спрямованих на експертів з політики Близького Сходу. Ці атаки включають використання нового бекдору під назвою BASICSTAR, який розгортається через створення шахрайського порталу вебінарів.
Charming Kitten має досвід проведення різноманітних кампаній із соціальної інженерії, використовуючи тактики, спрямовані на різні організації, зокрема аналітичні центри, неурядові організації (НУО) та журналістів.
Зміст
Кіберзлочинці використовують різні тактики фішингу, щоб скомпрометувати жертв
CharmingKitten часто використовує нетрадиційні методи соціальної інженерії, такі як залучення цілей до тривалих бесід електронною поштою перед тим, як додати посилання на небезпечний вміст. Корпорація Майкрософт повідомила, що ця загроза виділила відомих осіб, які працюють у справах Близького Сходу, для розповсюдження шкідливих програм, таких як MischiefTut і MediaPl (також відомих як EYEGLASS), призначених для отримання конфіденційної інформації зі зламаних хостів.
Група, яка, як вважають, пов’язана з Корпусом вартових ісламської революції (КВІР), протягом останнього року поширювала різні інші бекдори, зокрема PowerLess, BellaCiao, POWERSTAR (він же GorjolEcho) і NokNok . Це підкреслює їхнє зобов’язання продовжувати свої кібератаки, адаптуючи тактику та методи, незважаючи на публічне викриття.
Зловмисники видають себе за законних організацій, щоб обдурити жертв
У досліджуваних фішингових атаках оператори Charming Kitten перейняли вигляд Міжнародного інституту іранських досліджень Rasanah (IIIS), щоб ініціювати та встановити довіру зі своїми цілями.
Ці спроби фішингу характерні використанням скомпрометованих облікових записів електронної пошти від законних контактів, а також кількох облікових записів електронної пошти під контролем зловмисника, практики, відомої під назвою Multi-Persona Impersonation (MPI).
Послідовності атак зазвичай включають архіви RAR, що містять файли LNK, як початковий крок для розповсюдження шкідливих програм. Повідомлення заохочують потенційних цілей взяти участь у шахрайському вебінарі на теми, які відповідають їхнім інтересам. В одному спостережуваному сценарії багатоетапного зараження було розгорнуто BASICSTAR і KORKULOADER, сценарії завантажувача PowerShell.
Зловмисне програмне забезпечення BASICSTAR збирає конфіденційну інформацію зі зламаних систем
BASICSTAR, визначений як зловмисне програмне забезпечення Visual Basic Script (VBS), демонструє такі можливості, як збір основної системної інформації, виконання віддалених команд із сервера командування та керування (C2), а також завантаження та представлення файлу PDF-приманки.
Крім того, певні фішингові атаки стратегічно розроблені для створення окремих бекдорів на основі операційної системи цільової машини. Жертви, які використовують Windows, піддаються компрометації через POWERLESS. У той же час користувачі Apple macOS піддаються впливу ланцюга зараження, кульмінацією якого є NokNok, якому сприяє функціональна програма VPN, яка містить вбудоване шкідливе програмне забезпечення.
Дослідники стверджують, що зловмисник демонструє високий рівень відданості нагляду за своїми цілями, прагнучи виявити найефективніші методи маніпуляції та розгортання шкідливого програмного забезпечення. Крім того, CharmingKitten виділяється серед інших учасників загрози, постійно запускаючи численні кампанії та залучаючи людей-операторів для підтримки їхніх поточних ініціатив.
