O ator de ameaças de origem iraniana conhecido como Charming Kitten foi associado a um novo conjunto de ataques direcionados a especialistas em políticas do Oriente Médio com uma nova backdoor chamada BASICSTAR através da criação de um portal falso de webinar.
Charming Kitten, também conhecido como APT35, CharmingCypress, Mint Sandstorm, TA453 e Yellow Garuda, tem um histórico de organização de uma ampla gama de campanhas de engenharia social que lançam uma ampla rede em seu direcionamento, muitas vezes tendo como alvo think tanks, ONGs e jornalistas.
“CharmingCypress frequentemente emprega táticas incomuns de engenharia social, como envolver alvos em longas conversas por e-mail antes de enviar links para conteúdo malicioso", disseram os pesquisadores da Volexity Ankur Saini, Callum Roxan, Charlie Gardner e Damien Cash.
No mês passado, a Microsoft revelou que indivíduos de alto perfil que trabalham em questões do Oriente Médio foram alvo do adversário para implementar malwares como MischiefTut e MediaPl (também conhecido como EYEGLASS) que são capazes de colher informações sensíveis de um host comprometido.
O grupo, identificado como sendo afiliado ao Corpo da Guarda Revolucionária Islâmica do Irã (IRGC), também distribuiu várias outras backdoors como PowerLess, BellaCiao, POWERSTAR (também conhecido como GorjolEcho), e NokNok no último ano, enfatizando sua determinação em continuar seu ataque cibernético, adaptando suas táticas e métodos apesar da exposição pública.
Os ataques de phishing observados entre setembro e outubro de 2023 envolveram os operadores do Charming Kitten se passando pelo Rasanah International Institute for Iranian Studies (IIIS) para iniciar e construir confiança com os alvos.
As tentativas de phishing também são caracterizadas pelo uso de contas de e-mail comprometidas pertencentes a contatos legítimos e várias contas de e-mail controladas pelo ator da ameaça, o que é chamado de Multi-Persona Impersonation (MPI).
As cadeias de ataque normalmente usam arquivos RAR contendo arquivos LNK como ponto de partida para distribuir malware, com as mensagens instando possíveis alvos a se juntarem a um webinar falso sobre tópicos de seu interesse.
Uma sequência de infecção de várias etapas foi observada para implementar o BASICSTAR e o KORKULOADER, um script downloader do PowerShell.
O BASICSTAR, um malware Visual Basic Script (VBS), é capaz de coletar informações básicas do sistema, executar comandos remotamente transmitidos de um servidor de comando e controle (C2) e baixar e exibir um arquivo PDF isca.
Além disso, alguns desses ataques de phishing são projetados para servir diferentes backdoors dependendo do sistema operacional da máquina.
Enquanto as vítimas de Windows são comprometidas com o POWERLESS, as vítimas de Apple macOS são alvo de uma cadeia de infecção culminando em NokNok através de um aplicativo VPN funcional que está infectado com malware.
“Esse ator de ameaças está altamente comprometido em realizar vigilância em seus alvos para determinar a melhor maneira de manipulá-los e implementar malware", disseram os pesquisadores.
"Além disso, poucos outros atores de ameaças produziram tantas campanhas como o CharmingCypress, dedicando operadores humanos para apoiar seus esforços contínuos".
A divulgação ocorre quando a Recorded Future descobriu que o IRGC está visando países ocidentais usando uma rede de empresas contratadas que também se especializam na exportação de tecnologias para fins de vigilância e ofensivos para países como Iraque, Síria e Líbano.
A relação entre organizações de inteligência e militares e contratados baseados no Irã assume a forma de vários centros cibernéticos que atuam como "firewalls" para ocultar a entidade patrocinadora.
Eles incluem Ayandeh Sazan Sepher Aria (suspeito de estar associado a Emennet Pasargad), DSP Research Institute, Sabrin Kish, Soroush Saman, Mahak Rayan Afraz, e a Parnian Telecommunication and Electronic Company.
"As empresas contratadas iranianas são estabelecidas e administradas por uma rede de personas, que, em alguns casos, representam os contratados como membros do conselho", disse a empresa.
"Os indivíduos estão intimamente associados ao IRGC, e em alguns casos, são até representantes de entidades sancionadas (como a IRGC Cooperative Foundation)”.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...