Backdoor BASICSTAR utilizzata dall'attore minaccioso iraniano
L’autore della minaccia legato all’Iran noto come Charming Kitten, noto anche come APT35, CharmingCypress, Mint Sandstorm, TA453 e Yellow Garuda, è stato identificato in una recente serie di attacchi contro esperti di politica del Medio Oriente. Questi attacchi comportano l'uso di una nuova backdoor denominata BASICSTAR, che viene distribuita attraverso un falso portale webinar.
Charming Kitten ha una storia di conduzione di diverse campagne di ingegneria sociale, con particolare attenzione a think tank, ONG e giornalisti. Le loro tattiche includono il coinvolgimento degli obiettivi in conversazioni e-mail prolungate prima di inviare collegamenti a contenuti dannosi, come notato dai ricercatori di Volexity Ankur Saini, Callum Roxan, Charlie Gardner e Damien Cash.
Microsoft ha riferito che individui di alto profilo coinvolti negli affari mediorientali sono stati presi di mira da Charming Kitten per distribuire malware come MischiefTut e MediaPl (aka EYEGLASS), in grado di estrarre informazioni sensibili. L'autore della minaccia, ritenuto associato al Corpo delle Guardie rivoluzionarie islamiche iraniane (IRGC), ha anche diffuso varie altre backdoor come PowerLess, BellaCiao, POWERSTAR (alias GorjolEcho) e NokNok nell'ultimo anno, dimostrando un impegno costante contro gli attacchi informatici mentre adattare le tattiche nonostante l’esposizione pubblica.
BASICSTAR utilizzato come parte dell'infiltrazione a lungo termine
Gli attacchi di phishing osservati tra settembre e ottobre 2023 hanno coinvolto Charming Kitten che si spacciava per il Rasanah International Institute for Iran Studies (IIIS) per creare fiducia con gli obiettivi. Gli attacchi prevedono l'uso di account di posta elettronica compromessi e una tecnica chiamata Multi-Persona Impersonation (MPI), in cui vengono utilizzati più account di posta elettronica controllati dagli attori della minaccia.
Le catene di attacco utilizzano comunemente archivi RAR contenenti file LNK per distribuire malware. I potenziali obiettivi sono incoraggiati a partecipare a un falso webinar su argomenti di interesse, che porta a una sequenza di infezione in più fasi che distribuisce BASICSTAR e KORKULOADER, uno script di downloader di PowerShell.
BASICSTAR, un malware Visual Basic Script (VBS), può raccogliere informazioni di sistema di base, eseguire comandi da un server di comando e controllo (C2) e scaricare/visualizzare file PDF esca. Inoltre, alcuni attacchi adattano la backdoor a seconda del sistema operativo, compromettendo le vittime di Windows con POWERLESS e le vittime di Apple macOS attraverso una catena di infezioni che culmina in NokNok tramite un'applicazione VPN intrisa di malware.
