Backdoor BASICSTAR usado por ator de ameaças iraniano

O ator de ameaça ligado ao Irã, conhecido como Charming Kitten, também conhecido como APT35, CharmingCypress, Mint Sandstorm, TA453 e Yellow Garuda, foi identificado em uma série recente de ataques contra especialistas em políticas do Oriente Médio. Esses ataques envolvem o uso de um novo backdoor chamado BASICSTAR, que é implantado por meio de um portal de webinar falso.

Charming Kitten tem um histórico de realização de diversas campanhas de engenharia social, com foco particular em grupos de reflexão, ONGs e jornalistas. Suas táticas incluem envolver os alvos em conversas prolongadas por e-mail antes de enviar links de conteúdo malicioso, conforme observado pelos pesquisadores da Volexity, Ankur Saini, Callum Roxan, Charlie Gardner e Damien Cash.

A Microsoft informou que indivíduos importantes envolvidos em assuntos do Oriente Médio foram alvo do Charming Kitten para distribuir malware como MischiefTut e MediaPl (também conhecido como EYEGLASS), capaz de extrair informações confidenciais. O ator da ameaça, que se acredita estar associado ao Corpo da Guarda Revolucionária Islâmica do Irã (IRGC), também disseminou vários outros backdoors como PowerLess, BellaCiao, POWERSTAR (também conhecido como GorjolEcho) e NokNok no ano passado, demonstrando um compromisso persistente com ataques cibernéticos enquanto adaptar táticas apesar da exposição pública.

BASICSTAR implantado como parte de infiltração de longo prazo

Os ataques de phishing observados entre setembro e outubro de 2023 envolveram Charming Kitten se passando por Instituto Internacional Rasanah de Estudos Iranianos (IIIS) para construir a confiança dos alvos. Os ataques envolvem o uso de contas de e-mail comprometidas e uma técnica chamada Multi-Persona Impersonation (MPI), onde são utilizadas múltiplas contas de e-mail controladas por agentes de ameaças.

As cadeias de ataque geralmente utilizam arquivos RAR contendo arquivos LNK para distribuir malware. Alvos em potencial são incentivados a participar de um webinar falso sobre tópicos de interesse, levando a uma sequência de infecção em vários estágios, implantando BASICSTAR e KORKULOADER, um script de download do PowerShell.

BASICSTAR, um malware Visual Basic Script (VBS), pode coletar informações básicas do sistema, executar comandos de um servidor de comando e controle (C2) e baixar/exibir arquivos PDF falsos. Além disso, alguns ataques adaptam o backdoor dependendo do sistema operacional, comprometendo vítimas do Windows com POWERLESS e vítimas do Apple macOS por meio de uma cadeia de infecção que culmina no NokNok por meio de um aplicativo VPN repleto de malware.