BASICSTAR后门

来自伊朗的威胁攻击者 Charming Kitten 也被称为 APT35、CharmingCypress、Mint Sandstorm、TA453 和 Yellow Garuda，最近与一系列针对中东政策专家的新攻击有关。这些攻击涉及使用名为 BASICSTAR 的新后门，该后门是通过创建欺诈性网络研讨会门户来部署的。

Charming Kitten拥有开展各种社会工程活动的记录，所采用的策略广泛针对各种实体，包括智囊团、非政府组织 (NGO) 和记者。

网络犯罪分子使用各种网络钓鱼策略来危害受害者

CharmingKitten 经常利用非常规的社交工程技术，例如在引入不安全内容的链接之前让目标参与长时间的电子邮件对话。微软透露，该威胁行为者已经挑选出从事中东事务的知名人士来传播 MischiefTut 和 MediaPl（也称为 EYEGLASS）等恶意软件，这些恶意软件旨在从受感染的主机中提取敏感信息。

该组织据信与伊朗伊斯兰革命卫队 (IRGC) 有关，在过去的一年中传播了各种其他后门，包括 PowerLess、BellaCiao、 POWERSTAR （又名 GorjolEcho）和NokNok 。这凸显了他们坚持网络攻击、调整策略和方法的承诺，尽管已被公开曝光。

攻击者冒充合法实体来欺骗受害者

受到审查的网络钓鱼攻击涉及 Charming Kitten 运营商，他们利用 Rasanah 国际伊朗研究所 (IIIS) 的幌子发起攻击并与目标建立信任。

这些网络钓鱼尝试的特点是使用来自合法联系人的受损电子邮件帐户，以及威胁行为者控制下的多个电子邮件帐户，这种做法称为多重角色模拟 (MPI)。

攻击序列通常涉及包含 LNK 文件的 RAR 存档，作为传播恶意软件的第一步。这些消息鼓励潜在目标参加针对其兴趣的主题的欺诈性网络研讨会。在一项观察到的多阶段感染场景中，部署了 BASICSTAR 和 KORKULOADER（PowerShell 下载器脚本）。

BASICSTAR 恶意软件从受损系统收集敏感信息

BASICSTAR 被识别为 Visual Basic Script (VBS) 恶意软件，具有收集基本系统信息、从命令与控制 (C2) 服务器执行远程命令以及下载和呈现诱饵 PDF 文件等功能。

此外，某些网络钓鱼攻击经过战略设计，可根据目标计算机的操作系统提供不同的后门。使用 Windows 的受害者会通过 POWERLESS 受到损害。与此同时，Apple macOS 用户面临着最终导致 NokNok 的感染链，这是由包含嵌入式恶意软件的功能性 VPN 应用程序促成的。

研究人员表示，威胁行为者表现出对监视目标的高度承诺，旨在找出最有效的操纵方法和恶意软件部署。此外，CharmingKitten 通过持续发起大量活动并部署人类操作员来支持其正在进行的计划，从而在其他威胁行为者中脱颖而出。