BASICSTAR bakdør brukt av iransk trusselskuespiller

Den iransk-tilknyttede trusselskuespilleren kjent som Charming Kitten, også referert til som APT35, CharmingCypress, Mint Sandstorm, TA453 og Yellow Garuda, har blitt identifisert i en nylig serie med angrep rettet mot Midtøsten-politiske eksperter. Disse angrepene involverer bruk av en ny bakdør kalt BASICSTAR, som distribueres gjennom en falsk webinarportal.

Charming Kitten har en historie med å gjennomføre ulike sosiale ingeniørkampanjer, med et spesielt fokus på tenketanker, frivillige organisasjoner og journalister. Taktikken deres inkluderer å engasjere mål i langvarige e-postsamtaler før de sender lenker til skadelig innhold, som bemerket av Volexity-forskerne Ankur Saini, Callum Roxan, Charlie Gardner og Damien Cash.

Microsoft rapporterte at høyprofilerte personer involvert i Midtøsten-saker ble målrettet av Charming Kitten for å distribuere skadelig programvare som MischiefTut og MediaPl (aka EYEGLASS), som er i stand til å trekke ut sensitiv informasjon. Trusselaktøren, som antas å være assosiert med Irans islamske revolusjonsgardekorps (IRGC), har også spredt forskjellige andre bakdører som PowerLess, BellaCiao, POWERSTAR (aka GorjolEcho) og NokNok det siste året, og demonstrert en vedvarende forpliktelse til cyberangrep mens tilpasse taktikk til tross for offentlig eksponering.

BASICSTAR utplassert som en del av langsiktig infiltrasjon

Phishing-angrep observert mellom september og oktober 2023 involverte Charming Kitten som poserte som Rasanah International Institute for Iranian Studies (IIIS) for å bygge tillit med mål. Angrepene inneholder bruk av kompromitterte e-postkontoer og en teknikk kalt Multi-Persona Impersonation (MPI), der flere trusselaktørkontrollerte e-postkontoer brukes.

Angrepskjedene bruker vanligvis RAR-arkiver som inneholder LNK-filer for å distribuere skadelig programvare. Potensielle mål oppfordres til å bli med på et falskt webinar om emner av interesse, noe som fører til en flertrinns infeksjonssekvens som distribuerer BASICSTAR og KORKULOADER, et PowerShell-nedlastingsskript.

BASICSTAR, en Visual Basic Script (VBS) malware, kan samle grunnleggende systeminformasjon, utføre kommandoer fra en kommando-og-kontroll-server (C2) og laste ned/vise lokke-PDF-filer. I tillegg skreddersyr noen angrep bakdøren avhengig av operativsystemet, og kompromitterer Windows-ofre med POWERLESS og Apple macOS-ofre gjennom en infeksjonskjede som kulminerer med NokNok via en VPN-applikasjon full av skadelig programvare.

Innen Zaib
February 20, 2024
Computer Security
Norsk
February 20, 2024
Computer Security

Populære innlegg

Softcnapp potensielt uønsket applikasjon

1 month siden

Jegdex-svindel

7 days siden

Popup-vinduer "Din iCloud blir hacket" og "Din iPhone har...

8 months siden

Trojan Al11 Malware Deteksjon

12 months siden

«American Express – Oppdater kontoinformasjonen din»...

7 months siden

Pinaview er en Adware-app med alle funksjoner

11 months siden
Norsk
Laster ...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Hjem

Products

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Support

Help Files Spørsmål og svar Downloads Inquiries & Support

Selskap

About Us Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Personvern Cookie-policy Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows er et varemerke for Microsoft, registrert i USA og andre land.
Mac, iPhone, iPad og App Store er varemerker for Apple Inc., registrert i USA og andre land.
iOS er et registrert varemerke for Cisco Systems, Inc. og/eller dets tilknyttede selskaper i USA og visse andre land.
Android og Google Play er varemerker for Google LLC.