BASICSTAR バックドア
イランを起源とし、APT35、CharmingCypress、Mint Sandstorm、TA453、Yellow Garuda としても知られる脅威アクター Charming Kitten は、最近、中東政策専門家を標的とした一連の新たな攻撃に関連していると指摘されています。これらの攻撃には、詐欺的なウェビナー ポータルの作成を通じて展開される BASICSTAR という名前の新しいバックドアの使用が含まれます。
Charming Kitten には、シンクタンク、非政府組織 (NGO)、ジャーナリストなどのさまざまな組織を広範囲にターゲットにした戦術を採用し、多様なソーシャル エンジニアリング キャンペーンを実施した実績があります。
目次
サイバー犯罪者はさまざまなフィッシング戦術を使用して被害者を侵害します
CharmingKitten は、安全でないコンテンツへのリンクを導入する前にターゲットを長時間の電子メールでの会話に参加させるなど、型破りなソーシャル エンジニアリング手法を頻繁に利用します。 Microsoft は、中東問題に取り組む著名な個人がこの攻撃者によって選ばれ、侵害されたホストから機密情報を抽出するように設計された MischiefTut や MediaPl (EYEGLASS としても知られる) のようなマルウェアを広めていることを明らかにしました。
このグループはイランのイスラム革命防衛隊 (IRGC) に関連していると考えられており、過去 1 年間に PowerLess、BellaCiao、 POWERSTAR (別名 GorjolEcho)、 NokNokなど、他のさまざまなバックドアを配布しました。これは、公に暴露されているにもかかわらず、戦術と手法を適応させてサイバー攻撃を継続するという彼らの取り組みを強調しています。
攻撃者は正当な組織を装い、被害者を騙す
精査されているこのフィッシング攻撃には、チャーミング キトゥンのオペレーターがラサナ国際イラン研究所 (IIIS) を装ってターゲットとの信頼関係を開始し確立することが含まれていました。
これらのフィッシングの試みは、正規の連絡先から侵害された電子メール アカウントを使用することや、脅威アクターの制御下にある複数の電子メール アカウントを使用することで注目に値します。これは、マルチペルソナ偽装 (MPI) として知られる手法です。
通常、攻撃シーケンスには、マルウェアを広める最初のステップとして、LNK ファイルを含む RAR アーカイブが含まれます。このメッセージは、潜在的なターゲットに対して、彼らの興味に合わせたテーマに関する詐欺的なウェビナーへの参加を奨励します。観察された多段階感染シナリオの 1 つでは、PowerShell ダウンローダー スクリプトである BASICSTAR と KORKULOADER がデプロイされました。
BASICSTAR マルウェアは侵害されたシステムから機密情報を収集します
Visual Basic Script (VBS) マルウェアとして識別される BASICSTAR は、基本的なシステム情報の収集、コマンド アンド コントロール (C2) サーバーからのリモート コマンドの実行、おとり PDF ファイルのダウンロードと表示などの機能を示します。
さらに、特定のフィッシング攻撃は、標的となるマシンのオペレーティング システムに基づいて個別のバックドアを提供するように戦略的に設計されています。 Windows を使用している被害者は、POWERLESS を通じて侵害を受ける可能性があります。同時に、Apple macOS ユーザーは、マルウェアが組み込まれた機能的な VPN アプリケーションによって促進される、NokNok に至る感染連鎖にさらされています。
研究者らは、この攻撃者は、最も効果的な操作とマルウェア展開の方法を見極めることを目的として、ターゲットの監視に高いレベルの取り組みを示していると述べています。さらに、CharmingKitten は、継続的に多数のキャンペーンを開始し、進行中の取り組みをサポートするために人間のオペレーターを配置することで、他の脅威アクターの中でも際立っています。
