Porte dérobée BASICSTAR utilisée par un acteur menaçant iranien

L'acteur menaçant lié à l'Iran, connu sous le nom de Charming Kitten, également appelé APT35, CharmingCypress, Mint Sandstorm, TA453 et Yellow Garuda, a été identifié dans une récente série d'attaques visant des experts politiques du Moyen-Orient. Ces attaques impliquent l'utilisation d'une nouvelle porte dérobée nommée BASICSTAR, déployée via un faux portail de webinaire.

Charming Kitten a l'habitude de mener diverses campagnes d'ingénierie sociale, avec un accent particulier sur les groupes de réflexion, les ONG et les journalistes. Leurs tactiques consistent notamment à engager les cibles dans des conversations prolongées par courrier électronique avant d'envoyer des liens de contenu malveillant, comme l'ont noté les chercheurs de Volexity Ankur Saini, Callum Roxan, Charlie Gardner et Damien Cash.

Microsoft a signalé que des personnalités de premier plan impliquées dans les affaires du Moyen-Orient avaient été ciblées par Charming Kitten pour distribuer des logiciels malveillants tels que MischiefTut et MediaPl (alias EYEGLASS), capables d'extraire des informations sensibles. L'acteur menaçant, soupçonné d'être associé au Corps des Gardiens de la révolution islamique (CGRI), a également diffusé diverses autres portes dérobées telles que PowerLess, BellaCiao, POWERSTAR (alias GorjolEcho) et NokNok au cours de l'année écoulée, démontrant un engagement persistant dans les cyberattaques tout en adapter les tactiques malgré l’exposition du public.

BASICSTAR déployé dans le cadre d'une infiltration à long terme

Les attaques de phishing observées entre septembre et octobre 2023 impliquaient Charming Kitten se faisant passer pour l'Institut international Rasanah d'études iraniennes (IIIS) pour établir la confiance avec les cibles. Les attaques utilisent des comptes de messagerie compromis et une technique appelée Multi-Persona Usurment (MPI), dans laquelle plusieurs comptes de messagerie contrôlés par les acteurs de la menace sont utilisés.

Les chaînes d'attaque utilisent généralement des archives RAR contenant des fichiers LNK pour distribuer des logiciels malveillants. Les cibles potentielles sont encouragées à participer à un faux webinaire sur des sujets d'intérêt, conduisant à une séquence d'infection en plusieurs étapes déployant BASICSTAR et KORKULOADER, un script de téléchargement PowerShell.

BASICSTAR, un malware Visual Basic Script (VBS), peut collecter des informations de base sur le système, exécuter des commandes à partir d'un serveur de commande et de contrôle (C2) et télécharger/afficher des fichiers PDF leurres. De plus, certaines attaques adaptent la porte dérobée en fonction du système d'exploitation, compromettant les victimes Windows avec POWERLESS et les victimes Apple macOS via une chaîne d'infection culminant à NokNok via une application VPN truffée de logiciels malveillants.

Par Zaib
February 20, 2024
Computer Security
Français
February 20, 2024
Computer Security

Articles Populaires

Softcnapp Application potentiellement indésirable

Il y a 1 month

Arnaque Jegdex

Il y a 7 days

Pop-ups "Votre iCloud est piraté" et "Votre iPhone a été piraté"

Il y a 8 months

Détection des logiciels malveillants Trojan Al11

Il y a 12 months

Arnaque par e-mail « American Express – Mettez à jour les...

Il y a 7 months

Pinaview est une application publicitaire complète

Il y a 11 months
Français
Chargement...

Cyclonis Backup Details & Terms

Le plan Free Basic Cyclonis Backup vous offre 2 Go d'espace de stockage dans le cloud avec toutes les fonctionnalités! Pas de carte de crédit nécessaire. Besoin de plus d'espace de stockage? Achetez un plan Cyclonis Backup plus important dès aujourd'hui! Pour en savoir plus sur nos politiques et nos tarifs, consultez les conditions d'utilisation, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.