Porte dérobée BASICSTAR
L'acteur malveillant Charming Kitten, originaire d'Iran et également connu sous les noms d'APT35, CharmingCypress, Mint Sandstorm, TA453 et Yellow Garuda, a récemment été associé à une série de nouvelles attaques visant des experts politiques du Moyen-Orient. Ces attaques impliquent l'utilisation d'une nouvelle porte dérobée nommée BASICSTAR, qui est déployée via la création d'un portail de webinaire frauduleux.
Charming Kitten a l'habitude de mener diverses campagnes d'ingénierie sociale, en employant des tactiques qui ciblent largement diverses entités, notamment des groupes de réflexion, des organisations non gouvernementales (ONG) et des journalistes.
Table des matières
Les cybercriminels utilisent diverses tactiques de phishing pour compromettre leurs victimes
CharmingKitten utilise fréquemment des techniques d'ingénierie sociale non conventionnelles, telles que l'engagement des cibles dans des conversations prolongées par courrier électronique avant d'introduire des liens vers du contenu dangereux. Microsoft a révélé que des individus notables travaillant sur les affaires du Moyen-Orient avaient été ciblés par cet acteur malveillant pour diffuser des logiciels malveillants tels que MischiefTut et MediaPl (également connu sous le nom de EYEGLASS), conçus pour extraire des informations sensibles d'hôtes compromis.
Le groupe, soupçonné d'être associé au Corps des Gardiens de la révolution islamique (CGRI), a distribué diverses autres portes dérobées, notamment PowerLess, BellaCiao, POWERSTAR (alias GorjolEcho) et NokNok , au cours de l'année écoulée. Cela souligne leur détermination à persister dans leurs cyberattaques, en adaptant leurs tactiques et leurs méthodes malgré leur exposition publique.
Les attaquants se font passer pour des entités légitimes pour tromper les victimes
Les attaques de phishing sous surveillance impliquaient des opérateurs de Charming Kitten adoptant l'apparence de l'Institut international Rasanah d'études iraniennes (IIIS) pour initier et établir la confiance avec leurs cibles.
Ces tentatives de phishing se caractérisent par l'utilisation de comptes de messagerie compromis provenant de contacts légitimes, ainsi que de plusieurs comptes de messagerie sous le contrôle de l'acteur menaçant, une pratique connue sous le nom d'usurpation d'identité multi-personnes (MPI).
Les séquences d'attaque impliquent généralement des archives RAR contenant des fichiers LNK comme étape initiale de diffusion de logiciels malveillants. Les messages encouragent les cibles potentielles à participer à un webinaire frauduleux sur des sujets adaptés à leurs intérêts. Dans un scénario d’infection en plusieurs étapes observé, BASICSTAR et KORKULOADER, des scripts de téléchargement PowerShell, ont été déployés.
Le logiciel malveillant BASICSTAR collecte des informations sensibles à partir de systèmes compromis
BASICSTAR, identifié comme un malware Visual Basic Script (VBS), présente des fonctionnalités telles que la collecte d'informations système fondamentales, l'exécution de commandes à distance à partir d'un serveur de commande et de contrôle (C2) et le téléchargement et la présentation d'un fichier PDF leurre.
De plus, certaines attaques de phishing sont conçues stratégiquement pour créer des portes dérobées distinctes en fonction du système d'exploitation de la machine ciblée. Les victimes utilisant Windows sont soumises à des compromissions via POWERLESS. Dans le même temps, les utilisateurs d’Apple macOS sont exposés à une chaîne d’infection culminant à NokNok, facilitée par une application VPN fonctionnelle contenant des logiciels malveillants intégrés.
Les chercheurs affirment que l’auteur de la menace fait preuve d’un haut niveau d’engagement dans la surveillance de ses cibles, dans le but de discerner les méthodes de manipulation et de déploiement de logiciels malveillants les plus efficaces. De plus, CharmingKitten se démarque des autres acteurs malveillants en lançant systématiquement de nombreuses campagnes et en déployant des opérateurs humains pour soutenir leurs initiatives en cours.
