Бэкдор BASISTAR используется иранским злоумышленником

Связанный с Ираном злоумышленник, известный как Charming Kitten, также известный как APT35, CharmingCypress, Mint Sandstorm, TA453 и Yellow Garuda, был идентифицирован в недавней серии атак, направленных против экспертов по ближневосточной политике. Эти атаки включают использование нового бэкдора под названием BASICSTAR, который развертывается через поддельный портал вебинаров.

Charming Kitten имеет опыт проведения разнообразных кампаний социальной инженерии, уделяя особое внимание аналитическим центрам, неправительственным организациям и журналистам. Их тактика включает вовлечение жертв в длительные переписки по электронной почте перед отправкой ссылок на вредоносный контент, как отмечают исследователи Volexity Анкур Сайни, Каллум Роксан, Чарли Гарднер и Дэмиен Кэш.

Microsoft сообщила, что Charming Kitten стал мишенью высокопоставленных лиц, вовлеченных в дела Ближнего Востока, для распространения вредоносных программ, таких как MischiefTut и MediaPl (также известных как EYEGLASS), способных извлекать конфиденциальную информацию. Злоумышленник, предположительно связанный с иранским Корпусом стражей исламской революции (КСИР), в течение прошлого года также распространял различные другие бэкдоры, такие как PowerLess, BellaCiao, POWERSTAR (также известный как GorjolEcho) и NokNok, демонстрируя постоянную приверженность кибератакам, в то время как адаптируя тактику, несмотря на публичное разоблачение.

BASISTAR развернут как часть долгосрочного проникновения

В период с сентября по октябрь 2023 года наблюдались фишинговые атаки с участием Charming Kitten, выдававшего себя за Международный институт иранских исследований Расана (IIIS), чтобы завоевать доверие жертв. В атаках используются взломанные учетные записи электронной почты и метод под названием Multi-Persona Impersonation (MPI), при котором используются несколько учетных записей электронной почты, контролируемых злоумышленниками.

В цепочках атак для распространения вредоносного ПО обычно используются архивы RAR, содержащие файлы LNK. Потенциальным жертвам предлагается присоединиться к поддельному вебинару по интересующим темам, что приводит к многоэтапной последовательности заражения с использованием BASICSTAR и KORKULOADER, скрипта-загрузчика PowerShell.

BASISTAR, вредоносное ПО Visual Basic Script (VBS), может собирать базовую системную информацию, выполнять команды с сервера управления и контроля (C2), а также загружать/отображать ложные PDF-файлы. Кроме того, некоторые атаки адаптируют бэкдор в зависимости от операционной системы, ставя под угрозу жертв Windows с помощью POWERLESS и жертв Apple macOS через цепочку заражения, кульминацией которой является NokNok через VPN-приложение, пропитанное вредоносным ПО.