BASICSTAR後門

來自伊朗的威脅攻擊者 Charming Kitten 也被稱為 APT35、CharmingCypress、Mint Sandstorm、TA453 和 Yellow Garuda，最近與一系列針對中東政策專家的新攻擊有關。這些攻擊涉及使用名為 BASICSTAR 的新後門，後門是透過創建欺詐性網路研討會入口網站來部署的。

Charming Kitten擁有進行各種社會工程活動的記錄，所採用的策略廣泛針對各種實體，包括智庫、非政府組織 (NGO) 和記者。

網路犯罪分子使用各種網路釣魚策略來危害受害者

CharmingKitten 經常利用非常規的社交工程技術，例如在引入不安全內容的連結之前讓目標參與長時間的電子郵件對話。微軟透露，該威脅行為者已經挑選出從事中東事務的知名人士來傳播 MischiefTut 和 MediaPl（也稱為 EYEGLASS）等惡意軟體，這些惡意軟體旨在從受感染的主機中提取敏感資訊。

該組織據信與伊朗伊斯蘭革命衛隊 (IRGC) 有關，在過去的一年中傳播了各種其他後門，包括 PowerLess、BellaCiao、 POWERSTAR （又名 GorjolEcho）和NokNok 。這凸顯了他們堅持網路攻擊、調整策略和方法的承諾，儘管已被公開曝光。

攻擊者冒充合法實體來欺騙受害者

受到審查的網路釣魚攻擊涉及 Charming Kitten 營運商，他們利用 Rasanah 國際伊朗研究所 (IIIS) 的幌子發動攻擊並與目標建立信任。

這些網路釣魚嘗試的特點是使用來自合法聯絡人的受損電子郵件帳戶，以及威脅行為者控制下的多個電子郵件帳戶，這種做法稱為多重角色模擬 (MPI)。

攻擊序列通常涉及包含 LNK 檔案的 RAR 存檔，作為傳播惡意軟體的第一步。這些訊息鼓勵潛在目標參加針對其興趣的主題的欺詐性網路研討會。在一項觀察到的多階段感染場景中，部署了 BASICSTAR 和 KORKULOADER（PowerShell 下載器腳本）。

BASICSTAR 惡意軟體從受損系統收集敏感資訊

BASICSTAR 被識別為 Visual Basic Script (VBS) 惡意軟體，具有收集基本系統資訊、從命令與控制 (C2) 伺服器執行遠端命令以及下載和呈現誘餌 PDF 檔案等功能。

此外，某些網路釣魚攻擊經過策略設計，可根據目標電腦的作業系統提供不同的後門。使用 Windows 的受害者會透過 POWERLESS 受到損害。同時，Apple macOS 用戶面臨最終導致 NokNok 的感染鏈，而包含嵌入式惡意軟體的功能性 VPN 應用程式則促成了這條感染鏈。

研究人員表示，威脅行為者表現出對監視目標的高度承諾，旨在找出最有效的操縱方法和惡意軟體部署。此外，CharmingKitten 透過持續發起大量活動並部署人類操作員來支援其正在進行的計劃，從而在其他威脅行為者中脫穎而出。