Backdoor BASICSTAR używany przez irańskiego cyberprzestępcę

Powiązany z Iranem ugrupowanie zagrażające znane jako Charming Kitten, określane również jako APT35, CharmingCypress, Mint Sandstorm, TA453 i Yellow Garuda, zostało zidentyfikowane w niedawnej serii ataków wymierzonych w ekspertów ds. polityki Bliskiego Wschodu. Ataki te polegają na wykorzystaniu nowego backdoora o nazwie BASICSTAR, który jest wdrażany za pośrednictwem fałszywego portalu webinarowego.

Charming Kitten ma historię prowadzenia różnorodnych kampanii z zakresu inżynierii społecznej, ze szczególnym uwzględnieniem ośrodków doradczo-rozwojowych, organizacji pozarządowych i dziennikarzy. Jak zauważyli badacze Volexity, Ankur Saini, Callum Roxan, Charlie Gardner i Damien Cash, ich taktyka obejmuje angażowanie celów w długotrwałe rozmowy e-mailowe przed wysłaniem łączy do szkodliwych treści.

Firma Microsoft poinformowała, że Charming Kitten atakował znane osoby zaangażowane w sprawy Bliskiego Wschodu w celu rozpowszechniania szkodliwego oprogramowania, takiego jak MischiefTut i MediaPl (znanego również jako EYEGLASS), zdolnego do wydobywania poufnych informacji. Podmiot zagrażający, prawdopodobnie powiązany z irańskim Korpusem Strażników Rewolucji Islamskiej (IRGC), w ciągu ostatniego roku rozpowszechniał także różne inne backdoory, takie jak PowerLess, BellaCiao, POWERSTAR (alias GorjolEcho) i NokNok, wykazując ciągłe zaangażowanie w cyberataki, jednocześnie dostosowywanie taktyki pomimo narażenia opinii publicznej.

BASICSTAR zastosowany w ramach długoterminowej infiltracji

Ataki phishingowe zaobserwowane między wrześniem a październikiem 2023 r. polegały na tym, że Charming Kitten poddawał się pod Międzynarodowy Instytut Studiów Irańskich (IIIS) Rasanah, aby budować zaufanie do celów. Ataki wykorzystują zainfekowane konta e-mail i technikę zwaną podszywaniem się pod osobę wieloosobową (MPI), która polega na wykorzystaniu wielu kont e-mail kontrolowanych przez podmioty zagrażające.

Łańcuchy ataków często wykorzystują archiwa RAR zawierające pliki LNK do dystrybucji złośliwego oprogramowania. Potencjalne cele zachęca się do wzięcia udziału w fałszywym seminarium internetowym na interesujące tematy, co prowadzi do wieloetapowej sekwencji infekcji z wdrożeniem BASICSTAR i KORKULOADER, skryptu pobierania programu PowerShell.

BASICSTAR, złośliwe oprogramowanie Visual Basic Script (VBS), może zbierać podstawowe informacje o systemie, wykonywać polecenia z serwera dowodzenia i kontroli (C2) oraz pobierać/wyświetlać zwodnicze pliki PDF. Ponadto niektóre ataki dostosowują backdoora do systemu operacyjnego, narażając ofiary systemu Windows z POWERLESS i ofiary Apple macOS poprzez łańcuch infekcji, którego kulminacją jest NokNok za pośrednictwem aplikacji VPN zawierającej złośliwe oprogramowanie.