Az iráni fenyegetőző színész által használt BASICSTAR hátsó ajtó

Az iráni kötődésű, Charming Kitten néven ismert fenyegetettséget, amelyet APT35-nek, CharmingCypress-nek, Mint Sandstorm-nak, TA453-nak és Yellow Garuda-nak is neveznek, egy közel-keleti szakpolitikai szakértőket célzó támadássorozat során azonosították. Ezek a támadások egy új, BASICSTAR nevű hátsó ajtót használnak, amelyet egy hamis webinárium-portálon keresztül telepítenek.

A Charming Kitten számos társadalmi tervezési kampányt folytatott, különös tekintettel az agytrösztekre, civil szervezetekre és újságírókra. Taktikájuk közé tartozik, hogy célszemélyeket vonjanak be hosszan tartó e-mailes beszélgetésekbe, mielőtt rosszindulatú tartalomra mutató hivatkozásokat küldenének, amint azt a Volexity kutatói, Ankur Saini, Callum Roxan, Charlie Gardner és Damien Cash megjegyezték.

A Microsoft arról számolt be, hogy a Charming Kitten a közel-keleti ügyekben érintett nagy horderejű személyeket célozta meg olyan rosszindulatú programok terjesztésével, mint a MischiefTut és a MediaPl (más néven EYEGLASS), amelyek képesek érzékeny információk kinyerésére. Az iráni Iszlám Forradalmi Gárdával (IRGC) kapcsolatba hozható fenyegetett szereplő az elmúlt évben számos más hátsó ajtót is terjesztett, például a PowerLess-t, a BellaCiaót, a POWERSTAR-t (más néven GorjolEcho) és a NokNok-ot, kitartó elkötelezettségét a kibertámadások mellett. taktikák adaptálása a nyilvánosság előtt.

A BASICSTAR a hosszú távú beszivárgás részeként kerül bevezetésre

A 2023 szeptembere és októbere között megfigyelt adathalász támadások során a Charming Kitten a Rasanah Nemzetközi Iráni Tanulmányok Intézetének (IIIS) adta ki magát, hogy bizalmat építsen a célpontokkal. A támadások során feltört e-mail fiókokat használnak, és a Multi-Persona Impersonation (MPI) technikát alkalmazzák, ahol több fenyegetés-aktor által vezérelt e-mail fiókot használnak.

A támadási láncok általában LNK fájlokat tartalmazó RAR archívumokat használnak a rosszindulatú programok terjesztésére. A leendő célpontokat arra biztatjuk, hogy csatlakozzanak egy hamis webináriumhoz, amely érdekes témákról szól, és többlépcsős fertőzési sorozathoz vezet, amely a BASICSTAR és a KORKULOADER PowerShell letöltő szkriptjét telepíti.

A BASICSTAR, a Visual Basic Script (VBS) rosszindulatú programja alapvető rendszerinformációkat gyűjthet, parancsokat hajthat végre egy parancs- és vezérlőszerverről (C2), és letölthet/megjeleníthet csalogató PDF-fájlokat. Ezenkívül egyes támadások az operációs rendszertől függően szabják a hátsó ajtót, kompromittálva a Windows-áldozatokat TELJESÍTMÉNYTELEN és az Apple macOS-áldozatokkal egy fertőzési láncon keresztül, amely egy rosszindulatú programokkal megtűzdelt VPN-alkalmazáson keresztül NokNokban csúcsosodik ki.