Backdoor BASICSTAR που χρησιμοποιείται από τον Ιρανό ηθοποιό απειλών

Ο συνδεδεμένος με το Ιράν ηθοποιός απειλών, γνωστός ως Charming Kitten, που αναφέρεται επίσης ως APT35, CharmingCypress, Mint Sandstorm, TA453 και Yellow Garuda, εντοπίστηκε σε μια πρόσφατη σειρά επιθέσεων με στόχο ειδικούς της πολιτικής της Μέσης Ανατολής. Αυτές οι επιθέσεις περιλαμβάνουν τη χρήση μιας νέας κερκόπορτας που ονομάζεται BASICSTAR, η οποία αναπτύσσεται μέσω μιας ψεύτικης πύλης διαδικτυακού σεμιναρίου.

Το Charming Kitten έχει ιστορικό διεξαγωγής ποικίλων εκστρατειών κοινωνικής μηχανικής, με ιδιαίτερη έμφαση σε δεξαμενές σκέψης, ΜΚΟ και δημοσιογράφους. Οι τακτικές τους περιλαμβάνουν τη συμμετοχή στόχων σε παρατεταμένες συνομιλίες μέσω email πριν από την αποστολή συνδέσμων κακόβουλου περιεχομένου, όπως σημειώνουν οι ερευνητές του Volexity, Ankur Saini, Callum Roxan, Charlie Gardner και Damien Cash.

Η Microsoft ανέφερε ότι άτομα υψηλού προφίλ που εμπλέκονται σε υποθέσεις της Μέσης Ανατολής στοχοποιήθηκαν από το Charming Kitten για τη διανομή κακόβουλου λογισμικού όπως το MischiefTut και το MediaPl (γνωστό και ως EYEGLASS), ικανό να εξάγει ευαίσθητες πληροφορίες. Ο παράγοντας απειλής, που πιστεύεται ότι σχετίζεται με το Σώμα Φρουρών της Ισλαμικής Επανάστασης του Ιράν (IRGC), έχει επίσης διαδώσει διάφορες άλλες παρασκηνιακές πόρτες όπως οι PowerLess, BellaCiao, POWERSTAR (γνωστοί και ως GorjolEcho) και NokNok τον περασμένο χρόνο, επιδεικνύοντας μια επίμονη δέσμευση για επιθέσεις στον κυβερνοχώρο ενώ προσαρμόζοντας τακτικές παρά τη δημόσια έκθεση.

Το BASICSTAR αναπτύχθηκε ως μέρος της μακροπρόθεσμης διείσδυσης

Οι επιθέσεις phishing που παρατηρήθηκαν μεταξύ Σεπτεμβρίου και Οκτωβρίου 2023 αφορούσαν το Charming Kitten που υποδυόταν το Διεθνές Ινστιτούτο Ιρανικών Σπουδών Rasanah (IIIS) για να οικοδομήσει εμπιστοσύνη με στόχους. Οι επιθέσεις περιλαμβάνουν τη χρήση παραβιασμένων λογαριασμών email και μια τεχνική που ονομάζεται πλαστοπροσωπία πολλαπλών προσώπων (MPI), όπου χρησιμοποιούνται πολλαπλοί λογαριασμοί email που ελέγχονται από τους δράστες.

Οι αλυσίδες επίθεσης συνήθως χρησιμοποιούν αρχεία RAR που περιέχουν αρχεία LNK για τη διανομή κακόβουλου λογισμικού. Οι υποψήφιοι στόχοι ενθαρρύνονται να συμμετάσχουν σε ένα ψεύτικο διαδικτυακό σεμινάριο για θέματα ενδιαφέροντος, που οδηγεί σε μια ακολουθία μόλυνσης πολλαπλών σταδίων που αναπτύσσει το BASICSTAR και το KORKULOADER, ένα σενάριο λήψης PowerShell.

Το BASICSTAR, ένα κακόβουλο λογισμικό Visual Basic Script (VBS), μπορεί να συγκεντρώσει βασικές πληροφορίες συστήματος, να εκτελέσει εντολές από έναν διακομιστή εντολών και ελέγχου (C2) και να κατεβάσει/εμφανίσει αρχεία PDF decoy. Επιπλέον, ορισμένες επιθέσεις προσαρμόζουν το backdoor ανάλογα με το λειτουργικό σύστημα, διακυβεύοντας τα θύματα των Windows με POWERLESS και τα θύματα του Apple macOS μέσω μιας αλυσίδας μόλυνσης που κορυφώνεται στο NokNok μέσω μιας εφαρμογής VPN με κακόβουλο λογισμικό.