BASICSTAR Bagdør brugt af iransk trusselskuespiller
Den iransk-tilknyttede trusselsaktør kendt som Charming Kitten, også omtalt som APT35, CharmingCypress, Mint Sandstorm, TA453 og Yellow Garuda, er blevet identificeret i en nylig række angreb rettet mod Mellemøstens politiske eksperter. Disse angreb involverer brugen af en ny bagdør ved navn BASICSTAR, som er implementeret gennem en falsk webinarportal.
Charming Kitten har en historie med at gennemføre forskellige social engineering-kampagner med særligt fokus på tænketanke, ngo'er og journalister. Deres taktik inkluderer at engagere mål i langvarige e-mail-samtaler, før de sender ondsindede indholdslinks, som bemærket af Volexity-forskerne Ankur Saini, Callum Roxan, Charlie Gardner og Damien Cash.
Microsoft rapporterede, at højtprofilerede personer involveret i mellemøstlige anliggender blev målrettet af Charming Kitten til at distribuere malware såsom MischiefTut og MediaPl (aka EYEGLASS), der er i stand til at udtrække følsomme oplysninger. Trusselsaktøren, der menes at være forbundet med Irans Islamiske Revolutionsgarde (IRGC), har også spredt forskellige andre bagdøre som PowerLess, BellaCiao, POWERSTAR (alias GorjolEcho) og NokNok i løbet af det sidste år, og demonstreret et vedvarende engagement i cyberangreb, mens tilpasse taktik trods offentlig eksponering.
BASICSTAR implementeret som en del af langtidsinfiltration
Phishing-angreb observeret mellem september og oktober 2023 involverede Charming Kitten, der udgav sig som Rasanah International Institute for Iranian Studies (IIIS) for at opbygge tillid til mål. Angrebene omfatter brugen af kompromitterede e-mail-konti og en teknik kaldet Multi-Persona Impersonation (MPI), hvor flere trussel-aktør-kontrollerede e-mail-konti bruges.
Angrebskæderne bruger almindeligvis RAR-arkiver indeholdende LNK-filer til at distribuere malware. Potentielle mål opfordres til at deltage i et falsk webinar om emner af interesse, hvilket fører til en flertrins infektionssekvens, der implementerer BASICSTAR og KORKULOADER, et PowerShell-downloader-script.
BASICSTAR, en Visual Basic Script (VBS) malware, kan indsamle grundlæggende systemoplysninger, udføre kommandoer fra en kommando-og-kontrol-server (C2) og downloade/vise lokke-PDF-filer. Derudover skræddersyer nogle angreb bagdøren afhængigt af operativsystemet, og kompromitterer Windows-ofre med POWERLESS og Apple macOS-ofre gennem en infektionskæde, der kulminerer i NokNok via en VPN-applikation fyldt med malware.
