BASICSTAR-Hintertür von iranischem Bedrohungsakteur genutzt

Der mit dem Iran verbundene Bedrohungsakteur Charming Kitten, auch bekannt als APT35, CharmingCypress, Mint Sandstorm, TA453 und Yellow Garuda, wurde kürzlich in einer Reihe von Angriffen auf Politikexperten im Nahen Osten identifiziert. Bei diesen Angriffen kommt eine neue Hintertür namens BASICSTAR zum Einsatz, die über ein gefälschtes Webinar-Portal eingesetzt wird.

Charming Kitten hat in der Vergangenheit verschiedene Social-Engineering-Kampagnen durchgeführt, mit besonderem Schwerpunkt auf Think Tanks, NGOs und Journalisten. Zu ihren Taktiken gehört es, Zielpersonen in längere E-Mail-Gespräche einzubinden, bevor sie schädliche Inhaltslinks versenden, wie die Volexity-Forscher Ankur Saini, Callum Roxan, Charlie Gardner und Damien Cash festgestellt haben.

Microsoft berichtete, dass hochrangige Personen, die in Angelegenheiten des Nahen Ostens verwickelt sind, von Charming Kitten ins Visier genommen wurden, um Malware wie MischiefTut und MediaPl (auch bekannt als EYEGLASS) zu verbreiten, die in der Lage sind, vertrauliche Informationen zu extrahieren. Der Bedrohungsakteur, der vermutlich mit den Islamischen Revolutionsgarden (IRGC) des Iran in Verbindung steht, hat im vergangenen Jahr auch verschiedene andere Hintertüren wie PowerLess, BellaCiao, POWERSTAR (auch bekannt als GorjolEcho) und NokNok verbreitet und damit ein anhaltendes Engagement für Cyberangriffe unter Beweis gestellt Anpassung der Taktik trotz öffentlicher Aufdeckung.

BASICSTAR im Rahmen einer Langzeitinfiltration eingesetzt

Bei den zwischen September und Oktober 2023 beobachteten Phishing-Angriffen gab sich Charming Kitten als Rasanah International Institute for Iranian Studies (IIIS) aus, um Vertrauen bei den Zielen aufzubauen. Bei den Angriffen kommen kompromittierte E-Mail-Konten und eine Technik namens Multi-Persona Impersonation (MPI) zum Einsatz, bei der mehrere vom Bedrohungsakteur kontrollierte E-Mail-Konten genutzt werden.

Die Angriffsketten nutzen üblicherweise RAR-Archive mit LNK-Dateien, um Malware zu verbreiten. Potenzielle Ziele werden ermutigt, an einem gefälschten Webinar zu interessanten Themen teilzunehmen, was zu einer mehrstufigen Infektionssequenz führt, bei der BASICSTAR und KORKULOADER, ein PowerShell-Downloader-Skript, eingesetzt werden.

BASICSTAR, eine Visual Basic Script (VBS)-Malware, kann grundlegende Systeminformationen sammeln, Befehle von einem Command-and-Control-Server (C2) ausführen und gefälschte PDF-Dateien herunterladen/anzeigen. Darüber hinaus passen einige Angriffe die Hintertür je nach Betriebssystem an und kompromittieren Windows-Opfer mit POWERLESS und Apple-MacOS-Opfer durch eine Infektionskette, die in NokNok über eine mit Malware gespickte VPN-Anwendung gipfelt.