BASICSTAR-Hintertür
Der aus dem Iran stammende Bedrohungsakteur Charming Kitten, der auch als APT35, CharmingCypress, Mint Sandstorm, TA453 und Yellow Garuda bekannt ist, wurde kürzlich mit einer Reihe neuer Angriffe auf Politikexperten für den Nahen Osten in Verbindung gebracht. Bei diesen Angriffen kommt eine neue Hintertür namens BASICSTAR zum Einsatz, die durch die Erstellung eines betrügerischen Webinar-Portals eingesetzt wird.
Charming Kitten kann auf eine Erfolgsbilanz bei der Durchführung verschiedener Social-Engineering-Kampagnen zurückblicken und dabei Taktiken anwenden, die sich weitgehend an verschiedene Organisationen richten, darunter Denkfabriken, Nichtregierungsorganisationen (NGOs) und Journalisten.
Inhaltsverzeichnis
Cyberkriminelle nutzen verschiedene Phishing-Taktiken, um Opfer zu gefährden
CharmingKitten nutzt häufig unkonventionelle Social-Engineering-Techniken, wie z. B. die Einbindung von Zielpersonen in längere E-Mail-Gespräche, bevor Links zu unsicheren Inhalten eingefügt werden. Microsoft hat bekannt gegeben, dass namhafte Personen, die sich mit Angelegenheiten des Nahen Ostens befassen, von diesem Bedrohungsakteur ausgewählt wurden, um Malware wie MischiefTut und MediaPl (auch bekannt als EYEGLASS) zu verbreiten, die darauf abzielen, vertrauliche Informationen von kompromittierten Hosts zu extrahieren.
Die Gruppe, von der angenommen wird, dass sie mit den Islamischen Revolutionsgarden (IRGC) des Iran in Verbindung steht, hat im vergangenen Jahr verschiedene andere Hintertüren verbreitet, darunter PowerLess, BellaCiao, POWERSTAR (auch bekannt als GorjolEcho) und NokNok . Dies unterstreicht ihr Engagement, ihre Cyberangriffe fortzusetzen und Taktiken und Methoden anzupassen, obwohl sie öffentlich aufgedeckt werden.
Angreifer geben sich als legitime Einheiten aus, um Opfer auszutricksen
Bei den untersuchten Phishing-Angriffen handelten sich Betreiber von Charming Kitten unter dem Deckmantel des Rasanah International Institute for Iranian Studies (IIIS) aus, um Vertrauen bei ihren Zielen aufzubauen.
Diese Phishing-Versuche zeichnen sich durch die Verwendung kompromittierter E-Mail-Konten legitimer Kontakte sowie mehrerer E-Mail-Konten unter der Kontrolle des Bedrohungsakteurs aus, eine Praxis, die als Multi-Persona-Impersonation (MPI) bekannt ist.
Bei den Angriffssequenzen handelt es sich typischerweise um RAR-Archive mit LNK-Dateien als ersten Schritt zur Verbreitung von Malware. Die Nachrichten ermutigen potenzielle Zielpersonen, an einem betrügerischen Webinar zu Themen teilzunehmen, die auf ihre Interessen zugeschnitten sind. In einem beobachteten mehrstufigen Infektionsszenario wurden BASICSTAR und KORKULOADER, PowerShell-Downloader-Skripte, eingesetzt.
Die BASICSTAR-Malware sammelt sensible Informationen von kompromittierten Systemen
BASICSTAR wurde als Visual Basic Script (VBS)-Malware identifiziert und verfügt über Funktionen wie das Sammeln grundlegender Systeminformationen, das Ausführen von Remotebefehlen von einem Command-and-Control (C2)-Server und das Herunterladen und Präsentieren einer Täuschungs-PDF-Datei.
Darüber hinaus sind bestimmte Phishing-Angriffe strategisch darauf ausgelegt, je nach Betriebssystem des Zielcomputers unterschiedliche Hintertüren bereitzustellen. Opfer, die Windows verwenden, werden durch POWERLESS kompromittiert. Gleichzeitig sind Apple macOS-Benutzer einer Infektionskette ausgesetzt, die in NokNok gipfelt und durch eine funktionsfähige VPN-Anwendung mit eingebetteter Malware erleichtert wird.
Forscher geben an, dass der Bedrohungsakteur ein hohes Maß an Engagement bei der Überwachung seiner Ziele an den Tag legt, um die effektivsten Methoden zur Manipulation und zum Einsatz von Malware zu ermitteln. Darüber hinaus hebt sich CharmingKitten von anderen Bedrohungsakteuren dadurch ab, dass es regelmäßig zahlreiche Kampagnen startet und menschliche Operatoren einsetzt, um ihre laufenden Initiativen zu unterstützen.
