伊朗威胁行为者使用 BASICSTAR 后门
与伊朗有关的威胁行为者被称为 Charming Kitten,也称为 APT35、CharmingCypress、Mint Sandstorm、TA453 和 Yellow Garuda,在最近针对中东政策专家的一系列攻击中已被识别。这些攻击涉及使用名为 BASICSTAR 的新后门,该后门是通过虚假网络研讨会门户部署的。
Charming Kitten 有着开展各种社会工程活动的历史,特别关注智囊团、非政府组织和记者。正如 Volexity 研究人员 Ankur Saini、Callum Roxan、Charlie Gardner 和 Damien Cash 指出的那样,他们的策略包括在发送恶意内容链接之前与目标进行长时间的电子邮件对话。
微软报告称,参与中东事务的知名人士成为 Charming Kitten 的目标,以传播能够提取敏感信息的 MischiefTut 和 MediaPl(又名 EYEGLASS)等恶意软件。据信该威胁行为者与伊朗伊斯兰革命卫队 (IRGC) 有关,在过去的一年里还传播了各种其他后门,例如 PowerLess、BellaCiao、POWERSTAR(又名 GorjolEcho)和 NokNok,表现出对网络攻击的坚定承诺。尽管公开曝光,但仍调整策略。
BASICSTAR 作为长期渗透的一部分进行部署
2023 年 9 月至 10 月期间观察到的网络钓鱼攻击涉及 Charming Kitten 冒充 Rasanah 国际伊朗研究所 (IIIS) 来与目标建立信任。这些攻击的特点是使用受损的电子邮件帐户和一种称为多角色模拟 (MPI) 的技术,其中使用了多个威胁行为者控制的电子邮件帐户。
攻击链通常利用包含 LNK 文件的 RAR 存档来分发恶意软件。鼓励潜在目标参加有关感兴趣主题的虚假网络研讨会,从而导致部署 BASICSTAR 和 KORKULOADER(PowerShell 下载器脚本)的多阶段感染序列。
BASICSTAR 是一种 Visual Basic 脚本 (VBS) 恶意软件,可以收集基本系统信息、从命令和控制 (C2) 服务器执行命令以及下载/显示诱饵 PDF 文件。此外,一些攻击根据操作系统定制后门,通过感染链危害 Windows 受害者和 Apple macOS 受害者,最终通过带有恶意软件的 VPN 应用程序感染 NokNok。