Puerta trasera BASICSTAR
El actor de amenazas Charming Kitten, originario de Irán y también conocido como APT35, CharmingCypress, Mint Sandstorm, TA453 y Yellow Garuda, ha sido vinculado recientemente con una serie de nuevos ataques dirigidos a expertos en políticas de Oriente Medio. Estos ataques implican el uso de una nueva puerta trasera llamada BASICSTAR, que se implementa mediante la creación de un portal de seminarios web fraudulento.
Charming Kitten tiene un historial de llevar a cabo diversas campañas de ingeniería social, empleando tácticas que apuntan ampliamente a diversas entidades, incluidos grupos de expertos, organizaciones no gubernamentales (ONG) y periodistas.
Tabla de contenido
Los ciberdelincuentes utilizan diversas tácticas de phishing para comprometer a las víctimas
CharmingKitten utiliza con frecuencia técnicas de ingeniería social no convencionales, como involucrar a los objetivos en conversaciones prolongadas por correo electrónico antes de introducir enlaces a contenido inseguro. Microsoft ha revelado que este actor de amenazas ha seleccionado a personas destacadas que trabajan en asuntos de Oriente Medio para difundir malware como MischiefTut y MediaPl (también conocido como EYEGLASS), diseñado para extraer información confidencial de hosts comprometidos.
El grupo, que se cree que está asociado con el Cuerpo de la Guardia Revolucionaria Islámica de Irán (CGRI), ha distribuido varias otras puertas traseras, incluidas PowerLess, BellaCiao, POWERSTAR (también conocido como GorjolEcho) y NokNok , durante el año pasado. Esto subraya su compromiso de persistir en sus ataques cibernéticos, adaptando tácticas y métodos a pesar de estar expuestos públicamente.
Los atacantes se hacen pasar por entidades legítimas para engañar a las víctimas
Los ataques de phishing bajo escrutinio involucraron a operadores de Charming Kitten que adoptaron la apariencia del Instituto Internacional Rasanah de Estudios Iraníes (IIIS) para iniciar y establecer confianza con sus objetivos.
Estos intentos de phishing se caracterizan por utilizar cuentas de correo electrónico comprometidas de contactos legítimos, así como múltiples cuentas de correo electrónico bajo el control del actor de la amenaza, una práctica conocida como suplantación de múltiples personas (MPI).
Las secuencias de ataque suelen implicar archivos RAR que contienen archivos LNK como paso inicial para difundir malware. Los mensajes alientan a los objetivos potenciales a participar en un seminario web fraudulento sobre temas adaptados a sus intereses. En un escenario de infección de varias etapas observado, se implementaron BASICSTAR y KORKULOADER, scripts de descarga de PowerShell.
El malware BASICSTAR recopila información confidencial de sistemas comprometidos
BASICSTAR, identificado como un malware de Visual Basic Script (VBS), exhibe capacidades tales como recopilar información fundamental del sistema, ejecutar comandos remotos desde un servidor de comando y control (C2) y descargar y presentar un archivo PDF señuelo.
Además, ciertos ataques de phishing están diseñados estratégicamente para ofrecer puertas traseras distintas según el sistema operativo de la máquina objetivo. Las víctimas que utilizan Windows están sujetas a compromisos a través de POWERLESS. Al mismo tiempo, los usuarios de Apple macOS están expuestos a una cadena de infección que culmina en NokNok, facilitada por una aplicación VPN funcional que contiene malware integrado.
Los investigadores afirman que el actor de amenazas demuestra un alto nivel de compromiso con la vigilancia de sus objetivos, con el objetivo de discernir los métodos más efectivos de manipulación y despliegue de malware. Además, CharmingKitten se destaca entre otros actores de amenazas al lanzar constantemente numerosas campañas y desplegar operadores humanos para respaldar sus iniciativas en curso.
