BASICSTAR užpakalinės durys, kurias naudoja Irano grėsmės veikėjas

Su Iranu susijęs grėsmės veikėjas, žinomas kaip Charming Kitten, taip pat vadinamas APT35, CharmingCypress, Mint Sandstorm, TA453 ir Yellow Garuda, buvo nustatytas per pastarąją atakų seriją, nukreiptą prieš Artimųjų Rytų politikos ekspertus. Šios atakos apima naujų užpakalinių durų, pavadintų BASICSTAR, naudojimą, kuris yra įdiegtas per netikrą internetinių seminarų portalą.

„Charming Kitten“ yra vedęs įvairias socialinės inžinerijos kampanijas, ypatingą dėmesį skirdamas ekspertų grupėms, NVO ir žurnalistams. Jų taktika apima taikinių įtraukimą į ilgalaikius pokalbius el. paštu prieš siunčiant kenksmingo turinio nuorodas, kaip pažymėjo Volexity tyrinėtojai Ankur Saini, Callum Roxan, Charlie Gardner ir Damien Cash.

„Microsoft“ pranešė, kad „Charming Kitten“ nusitaikė į aukšto lygio asmenis, susijusius su Artimųjų Rytų reikalais, kad platintų tokias kenkėjiškas programas kaip „MischiefTut“ ir „MediaPl“ (dar žinomas kaip „EYEGLASS“), galinčias išgauti neskelbtiną informaciją. Grėsmių veikėjas, kuris, kaip manoma, yra susijęs su Irano Islamo revoliucinės gvardijos korpusu (IRGC), per pastaruosius metus taip pat platino įvairias kitas užpakalines duris, tokias kaip PowerLess, BellaCiao, POWERSTAR (dar žinomas kaip GorjolEcho) ir NokNok, demonstruodamas nuolatinį įsipareigojimą kibernetinėms atakoms. taktikos pritaikymas nepaisant viešo parodymo.

BASICSTAR įdiegtas kaip ilgalaikio įsiskverbimo dalis

Sukčiavimo išpuoliai, pastebėti nuo 2023 m. rugsėjo iki spalio, apėmė žavųjį kačiuką, kuris apsimetė Rasanos tarptautiniu Irano studijų institutu (IIIS), siekdamas sustiprinti taikinių pasitikėjimą. Atakos apima pažeistų el. pašto paskyrų naudojimą ir techniką, vadinamą kelių asmenų apsimetinėjimu (MPI), kai naudojamos kelios grėsmės veikėjų valdomos el. pašto paskyros.

Atakų grandinės dažniausiai naudoja RAR archyvus, kuriuose yra LNK failų kenkėjiškoms programoms platinti. Būsimieji taikiniai raginami prisijungti prie netikro internetinio seminaro dominančiomis temomis, kurių metu bus sukurta kelių etapų infekcijos seka, naudojant BASICSTAR ir KORKULOADER, PowerShell atsisiuntimo programos scenarijų.

BASICSTAR, „Visual Basic Script“ (VBS) kenkėjiška programa, gali rinkti pagrindinę sistemos informaciją, vykdyti komandas iš komandų ir valdymo (C2) serverio ir atsisiųsti / rodyti apgaulės PDF failus. Be to, kai kurios atakos pritaiko užpakalines duris, priklausomai nuo operacinės sistemos, pažeidžiant „Windows“ aukas su POWERLESS ir „Apple MacOS“ aukomis per infekcijos grandinę, kuri baigiasi „NokNok“ per VPN programą, kurioje yra kenkėjiškų programų.