Porte dérobée BASICSTAR utilisée par un acteur menaçant iranien
L'acteur menaçant lié à l'Iran, connu sous le nom de Charming Kitten, également appelé APT35, CharmingCypress, Mint Sandstorm, TA453 et Yellow Garuda, a été identifié dans une récente série d'attaques visant des experts politiques du Moyen-Orient. Ces attaques impliquent l'utilisation d'une nouvelle porte dérobée nommée BASICSTAR, déployée via un faux portail de webinaire.
Charming Kitten a l'habitude de mener diverses campagnes d'ingénierie sociale, avec un accent particulier sur les groupes de réflexion, les ONG et les journalistes. Leurs tactiques consistent notamment à engager les cibles dans des conversations prolongées par courrier électronique avant d'envoyer des liens de contenu malveillant, comme l'ont noté les chercheurs de Volexity Ankur Saini, Callum Roxan, Charlie Gardner et Damien Cash.
Microsoft a signalé que des personnalités de premier plan impliquées dans les affaires du Moyen-Orient avaient été ciblées par Charming Kitten pour distribuer des logiciels malveillants tels que MischiefTut et MediaPl (alias EYEGLASS), capables d'extraire des informations sensibles. L'acteur menaçant, soupçonné d'être associé au Corps des Gardiens de la révolution islamique (CGRI), a également diffusé diverses autres portes dérobées telles que PowerLess, BellaCiao, POWERSTAR (alias GorjolEcho) et NokNok au cours de l'année écoulée, démontrant un engagement persistant dans les cyberattaques tout en adapter les tactiques malgré l’exposition du public.
BASICSTAR déployé dans le cadre d'une infiltration à long terme
Les attaques de phishing observées entre septembre et octobre 2023 impliquaient Charming Kitten se faisant passer pour l'Institut international Rasanah d'études iraniennes (IIIS) pour établir la confiance avec les cibles. Les attaques utilisent des comptes de messagerie compromis et une technique appelée Multi-Persona Usurment (MPI), dans laquelle plusieurs comptes de messagerie contrôlés par les acteurs de la menace sont utilisés.
Les chaînes d'attaque utilisent généralement des archives RAR contenant des fichiers LNK pour distribuer des logiciels malveillants. Les cibles potentielles sont encouragées à participer à un faux webinaire sur des sujets d'intérêt, conduisant à une séquence d'infection en plusieurs étapes déployant BASICSTAR et KORKULOADER, un script de téléchargement PowerShell.
BASICSTAR, un malware Visual Basic Script (VBS), peut collecter des informations de base sur le système, exécuter des commandes à partir d'un serveur de commande et de contrôle (C2) et télécharger/afficher des fichiers PDF leurres. De plus, certaines attaques adaptent la porte dérobée en fonction du système d'exploitation, compromettant les victimes Windows avec POWERLESS et les victimes Apple macOS via une chaîne d'infection culminant à NokNok via une application VPN truffée de logiciels malveillants.