伊朗威脅行為者使用 BASICSTAR 後門
與伊朗有關的威脅行為者被稱為 Charming Kitten,也稱為 APT35、CharmingCypress、Mint Sandstorm、TA453 和 Yellow Garuda,在最近針對中東政策專家的一系列攻擊中已被識別。這些攻擊涉及使用名為 BASICSTAR 的新後門,後門是透過虛假網路研討會入口網站部署的。
Charming Kitten 有著進行各種社會工程活動的歷史,特別關注智囊團、非政府組織和記者。正如 Volexity 研究人員 Ankur Saini、Callum Roxan、Charlie Gardner 和 Damien Cash 指出的那樣,他們的策略包括在發送惡意內容連結之前與目標進行長時間的電子郵件對話。
微軟報告稱,參與中東事務的知名人士成為 Charming Kitten 的目標,以傳播能夠提取敏感資訊的 MischiefTut 和 MediaPl(又名 EYEGLASS)等惡意軟體。據信該威脅行為者與伊朗伊斯蘭革命衛隊(IRGC) 有關,在過去的一年裡還傳播了各種其他後門,例如PowerLess、BellaCiao、POWERSTAR(又名GorjolEcho)和NokNok,表現出對網路攻擊的堅定承諾。儘管公開曝光,但仍調整策略。
BASICSTAR 作為長期滲透的一部分進行部署
2023 年 9 月至 10 月期間觀察到的網路釣魚攻擊涉及 Charming Kitten 冒充 Rasanah 國際伊朗研究所 (IIIS) 來與目標建立信任。這些攻擊的特點是使用受損的電子郵件帳戶和一種稱為多角色模擬 (MPI) 的技術,其中使用了多個由威脅行為者控制的電子郵件帳戶。
攻擊鏈通常利用包含 LNK 檔案的 RAR 檔案來分發惡意軟體。鼓勵潛在目標參加有關感興趣主題的虛假網路研討會,從而導致部署 BASICSTAR 和 KORKULOADER(PowerShell 下載器腳本)的多階段感染序列。
BASICSTAR 是一種 Visual Basic 腳本 (VBS) 惡意軟體,可收集基本系統資訊、從命令和控制 (C2) 伺服器執行命令以及下載/顯示誘餌 PDF 檔案。此外,一些攻擊根據作業系統自訂後門,透過感染鏈危害 Windows 受害者和 Apple macOS 受害者,最終透過帶有惡意軟體的 VPN 應用程式感染 NokNok。