BASICSTAR Backdoor
Kẻ đe dọa Charming Kitten, có nguồn gốc từ Iran và còn được gọi là APT35, CharmingCypress, Mint Sandstorm, TA453 và Yellow Garuda, gần đây được cho là có liên quan đến một loạt cuộc tấn công mới nhắm vào các chuyên gia chính sách Trung Đông. Những cuộc tấn công này liên quan đến việc sử dụng một cửa hậu mới có tên BASICSTAR, được triển khai thông qua việc tạo ra một cổng hội thảo trực tuyến lừa đảo.
Charming Kitten có thành tích thực hiện các chiến dịch kỹ thuật xã hội đa dạng, sử dụng các chiến thuật nhắm mục tiêu rộng rãi vào nhiều thực thể khác nhau, bao gồm các tổ chức tư vấn, tổ chức phi chính phủ (NGO) và nhà báo.
Mục lục
Tội phạm mạng sử dụng nhiều chiến thuật lừa đảo khác nhau để thỏa hiệp với nạn nhân
CharmingKitten thường xuyên sử dụng các kỹ thuật kỹ thuật xã hội độc đáo, chẳng hạn như thu hút các mục tiêu vào các cuộc trò chuyện email kéo dài trước khi đưa ra các liên kết đến nội dung không an toàn. Microsoft đã tiết lộ rằng những cá nhân đáng chú ý làm việc về các vấn đề ở Trung Đông đã bị kẻ đe dọa này chỉ định để phát tán phần mềm độc hại như MischiefTut và MediaPl (còn được gọi là EYEGLASS), được thiết kế để trích xuất thông tin nhạy cảm từ các máy chủ bị xâm nhập.
Nhóm này được cho là có liên kết với Lực lượng Vệ binh Cách mạng Hồi giáo Iran (IRGC), đã phát tán nhiều cửa hậu khác, bao gồm PowerLess, BellaCiao, POWERSTAR (còn gọi là GorjolEcho) và NokNok trong năm qua. Điều này nhấn mạnh cam kết của họ trong việc kiên trì thực hiện các cuộc tấn công mạng, điều chỉnh các chiến thuật và phương pháp mặc dù đã bị vạch trần một cách công khai.
Những kẻ tấn công đóng giả là thực thể hợp pháp để lừa nạn nhân
Các cuộc tấn công lừa đảo đang được giám sát kỹ lưỡng liên quan đến việc những người điều hành Charming Kitten sử dụng chiêu bài của Viện Nghiên cứu Iran Quốc tế Rasanah (IIIS) để bắt đầu và thiết lập niềm tin với các mục tiêu của họ.
Những nỗ lực lừa đảo này đáng chú ý là sử dụng các tài khoản email bị xâm phạm từ các địa chỉ liên hệ hợp pháp, cũng như nhiều tài khoản email dưới sự kiểm soát của kẻ đe dọa, một hành vi được gọi là Mạo danh nhiều người (MPI).
Các chuỗi tấn công thường liên quan đến các kho lưu trữ RAR chứa các tệp LNK là bước đầu tiên để phát tán phần mềm độc hại. Các tin nhắn khuyến khích các mục tiêu tiềm năng tham gia vào hội thảo trực tuyến lừa đảo về các chủ đề phù hợp với sở thích của họ. Trong một tình huống lây nhiễm nhiều giai đoạn được quan sát, BASICSTAR và KORKULOADER, các tập lệnh tải xuống PowerShell, đã được triển khai.
Phần mềm độc hại BASICSTAR thu thập thông tin nhạy cảm từ các hệ thống bị xâm nhập
BASICSTAR, được xác định là phần mềm độc hại Visual Basic Script (VBS), có các khả năng như thu thập thông tin hệ thống cơ bản, thực thi các lệnh từ xa từ máy chủ Lệnh và Kiểm soát (C2) cũng như tải xuống và trình bày tệp PDF giả.
Hơn nữa, một số cuộc tấn công lừa đảo nhất định được thiết kế một cách chiến lược để cung cấp các cửa hậu riêng biệt dựa trên hệ điều hành của máy mục tiêu. Nạn nhân sử dụng Windows có thể bị xâm phạm thông qua POWERLESS. Đồng thời, người dùng macOS của Apple có nguy cơ phải đối mặt với chuỗi lây nhiễm mà đỉnh điểm là NokNok, được hỗ trợ bởi một ứng dụng VPN chức năng có chứa phần mềm độc hại nhúng.
Các nhà nghiên cứu tuyên bố rằng tác nhân đe dọa thể hiện mức độ cam kết cao trong việc giám sát các mục tiêu của họ, nhằm mục đích tìm ra các phương pháp thao túng và triển khai phần mềm độc hại hiệu quả nhất. Hơn nữa, CharmingKitten nổi bật so với các tác nhân đe dọa khác khi liên tục tung ra nhiều chiến dịch và triển khai các nhà khai thác là con người để hỗ trợ các sáng kiến đang diễn ra của chúng.
