BASICSTAR Bakdörr som används av iransk hotskådespelare
Den iransk-kopplade hotaktören känd som Charming Kitten, även kallad APT35, CharmingCypress, Mint Sandstorm, TA453 och Yellow Garuda, har identifierats i en nyligen genomförd serie attacker riktade mot Mellanösternpolitiska experter. Dessa attacker involverar användningen av en ny bakdörr som heter BASICSTAR, som distribueras genom en falsk webinarportal.
Charming Kitten har en historia av att genomföra olika sociala ingenjörskampanjer, med särskilt fokus på tankesmedjor, icke-statliga organisationer och journalister. Deras taktik inkluderar att engagera mål i långvariga e-postkonversationer innan de skickar skadliga innehållslänkar, som noterats av Volexity-forskarna Ankur Saini, Callum Roxan, Charlie Gardner och Damien Cash.
Microsoft rapporterade att högprofilerade personer inblandade i Mellanösternaffärer måltavlades av Charming Kitten för att distribuera skadlig programvara som MischiefTut och MediaPl (aka EYEGLASS), som kan extrahera känslig information. Hotaktören, som tros vara associerad med Irans islamiska revolutionsgardet (IRGC), har också spridit olika andra bakdörrar som PowerLess, BellaCiao, POWERSTAR (aka GorjolEcho) och NokNok under det senaste året, och visat ett ihärdigt engagemang för cyberattacker samtidigt som anpassa taktik trots allmänhetens exponering.
BASICSTAR Utplacerad som en del av långtidsinfiltration
Nätfiskeattacker som observerades mellan september och oktober 2023 involverade Charming Kitten som poserade som Rasanah International Institute for Iranian Studies (IIIS) för att bygga upp förtroende med mål. Attackerna har användning av komprometterade e-postkonton och en teknik som kallas Multi-Persona Impersonation (MPI), där flera hot-aktörskontrollerade e-postkonton används.
Attackkedjorna använder vanligtvis RAR-arkiv som innehåller LNK-filer för att distribuera skadlig programvara. Potentiella mål uppmuntras att gå med i ett falskt webbseminarium om ämnen av intresse, vilket leder till en infektionssekvens i flera steg som distribuerar BASICSTAR och KORKULOADER, ett PowerShell-nedladdningsskript.
BASICSTAR, ett skadligt program för Visual Basic Script (VBS), kan samla in grundläggande systeminformation, utföra kommandon från en kommando-och-kontroll-server (C2) och ladda ner/visa lockande PDF-filer. Vissa attacker skräddarsyr dessutom bakdörren beroende på operativsystemet, vilket äventyrar Windows-offer med POWERLESS- och Apple macOS-offer genom en infektionskedja som kulminerar i NokNok via en VPN-applikation fylld med skadlig programvara.
