イランの攻撃者が使用した BASICSTAR バックドア
Charming Kitten として知られるイラン関連の脅威アクターは、APT35、CharmingCypress、Mint Sandstorm、TA453、Yellow Garuda とも呼ばれ、中東政策専門家を標的とした最近の一連の攻撃で特定されました。これらの攻撃には、偽のウェビナー ポータルを通じて展開される BASICSTAR という名前の新しいバックドアの使用が含まれます。
Charming Kitten には、シンクタンク、NGO、ジャーナリストに特に重点を置いて、さまざまなソーシャル エンジニアリング キャンペーンを実施してきた歴史があります。 Volexity の研究者である Ankur Saini 氏、Callum Roxan 氏、Charlie Gardner 氏、Damien Cash 氏が指摘するように、彼らの戦術には、悪意のあるコンテンツのリンクを送信する前に、標的を長時間の電子メールでの会話に参加させることが含まれています。
Microsoft は、中東問題に関与する著名人が Charming Kitten の標的となり、MischiefTut や MediaPl (別名 EYEGLASS) などの機密情報を抽出できるマルウェアを配布したと報告しました。イランのイスラム革命防衛隊 (IRGC) と関係があると考えられているこの脅威アクターは、過去 1 年間に PowerLess、BellaCiao、POWERSTAR (別名 GorjolEcho)、NokNok などの他のさまざまなバックドアも拡散しており、サイバー攻撃への執拗な関与を示しています。公衆の面前にも関わらず戦術を適応させる。
BASICSTAR 長期潜入の一環として配備
2023 年 9 月から 10 月にかけて観察されたフィッシング攻撃には、ターゲットとの信頼関係を築くためにラサナ国際イラン研究所 (IIIS) を装った Charming Kitten が関与していました。この攻撃では、侵害された電子メール アカウントと、攻撃者が制御する複数の電子メール アカウントを利用するマルチペルソナ偽装 (MPI) と呼ばれる手法が使用されます。
攻撃チェーンは通常、LNK ファイルを含む RAR アーカイブを利用してマルウェアを配布します。標的となる可能性のある人々は、興味のあるトピックに関する偽のウェビナーに参加するよう奨励され、BASICSTAR と PowerShell ダウンローダー スクリプトである KORKULOADER を導入する多段階の感染シーケンスにつながります。
Visual Basic Script (VBS) マルウェアである BASICSTAR は、基本的なシステム情報を収集し、コマンド アンド コントロール (C2) サーバーからコマンドを実行し、おとり PDF ファイルをダウンロード/表示することができます。さらに、一部の攻撃はオペレーティング システムに応じてバックドアを調整し、マルウェアを混入した VPN アプリケーションを介して NokNok に至る感染連鎖を通じて Windows の被害者を POWERLESS に感染させ、Apple macOS の被害者を危険にさらします。