Hackers Iranianos Visam Especialistas em Políticas do Oriente Médio com Novo Backdoor BASICSTAR
19 de Fevereiro de 2024

O ator de ameaças de origem iraniana conhecido como Charming Kitten foi associado a um novo conjunto de ataques direcionados a especialistas em políticas do Oriente Médio com uma nova backdoor chamada BASICSTAR através da criação de um portal falso de webinar.

Charming Kitten, também conhecido como APT35, CharmingCypress, Mint Sandstorm, TA453 e Yellow Garuda, tem um histórico de organização de uma ampla gama de campanhas de engenharia social que lançam uma ampla rede em seu direcionamento, muitas vezes tendo como alvo think tanks, ONGs e jornalistas.

“CharmingCypress frequentemente emprega táticas incomuns de engenharia social, como envolver alvos em longas conversas por e-mail antes de enviar links para conteúdo malicioso", disseram os pesquisadores da Volexity Ankur Saini, Callum Roxan, Charlie Gardner e Damien Cash.

No mês passado, a Microsoft revelou que indivíduos de alto perfil que trabalham em questões do Oriente Médio foram alvo do adversário para implementar malwares como MischiefTut e MediaPl (também conhecido como EYEGLASS) que são capazes de colher informações sensíveis de um host comprometido.

O grupo, identificado como sendo afiliado ao Corpo da Guarda Revolucionária Islâmica do Irã (IRGC), também distribuiu várias outras backdoors como PowerLess, BellaCiao, POWERSTAR (também conhecido como GorjolEcho), e NokNok no último ano, enfatizando sua determinação em continuar seu ataque cibernético, adaptando suas táticas e métodos apesar da exposição pública.

Os ataques de phishing observados entre setembro e outubro de 2023 envolveram os operadores do Charming Kitten se passando pelo Rasanah International Institute for Iranian Studies (IIIS) para iniciar e construir confiança com os alvos.

As tentativas de phishing também são caracterizadas pelo uso de contas de e-mail comprometidas pertencentes a contatos legítimos e várias contas de e-mail controladas pelo ator da ameaça, o que é chamado de Multi-Persona Impersonation (MPI).

As cadeias de ataque normalmente usam arquivos RAR contendo arquivos LNK como ponto de partida para distribuir malware, com as mensagens instando possíveis alvos a se juntarem a um webinar falso sobre tópicos de seu interesse.

Uma sequência de infecção de várias etapas foi observada para implementar o BASICSTAR e o KORKULOADER, um script downloader do PowerShell.

O BASICSTAR, um malware Visual Basic Script (VBS), é capaz de coletar informações básicas do sistema, executar comandos remotamente transmitidos de um servidor de comando e controle (C2) e baixar e exibir um arquivo PDF isca.

Além disso, alguns desses ataques de phishing são projetados para servir diferentes backdoors dependendo do sistema operacional da máquina.

Enquanto as vítimas de Windows são comprometidas com o POWERLESS, as vítimas de Apple macOS são alvo de uma cadeia de infecção culminando em NokNok através de um aplicativo VPN funcional que está infectado com malware.

“Esse ator de ameaças está altamente comprometido em realizar vigilância em seus alvos para determinar a melhor maneira de manipulá-los e implementar malware", disseram os pesquisadores.

"Além disso, poucos outros atores de ameaças produziram tantas campanhas como o CharmingCypress, dedicando operadores humanos para apoiar seus esforços contínuos".

A divulgação ocorre quando a Recorded Future descobriu que o IRGC está visando países ocidentais usando uma rede de empresas contratadas que também se especializam na exportação de tecnologias para fins de vigilância e ofensivos para países como Iraque, Síria e Líbano.

A relação entre organizações de inteligência e militares e contratados baseados no Irã assume a forma de vários centros cibernéticos que atuam como "firewalls" para ocultar a entidade patrocinadora.

Eles incluem Ayandeh Sazan Sepher Aria (suspeito de estar associado a Emennet Pasargad), DSP Research Institute, Sabrin Kish, Soroush Saman, Mahak Rayan Afraz, e a Parnian Telecommunication and Electronic Company.

"As empresas contratadas iranianas são estabelecidas e administradas por uma rede de personas, que, em alguns casos, representam os contratados como membros do conselho", disse a empresa.

"Os indivíduos estão intimamente associados ao IRGC, e em alguns casos, são até representantes de entidades sancionadas (como a IRGC Cooperative Foundation)”.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...