O ator de ameaço de origem iraniana divulgado porquê Charming Kitten foi associado a um novo conjunto de ataques dirigidos a especialistas em política do Oriente Médio com uma novidade porta dos fundos chamada BASICSTAR criando um portal de webinar falso.
Charming Kitten, também chamada de APT35, CharmingCypress, Mint Sandstorm, TA453 e Yellow Garuda, tem um histórico de orquestrar uma ampla gama de campanhas de engenharia social que lançam uma ampla rede em seu direcionamento, muitas vezes destacando grupos de reflexão, ONGs e jornalistas.
“O CharmingCypress frequentemente emprega táticas incomuns de engenharia social, porquê envolver alvos em conversas prolongadas por e-mail antes de enviar links para teor malicioso”, disseram os pesquisadores da Volexity, Ankur Saini, Callum Roxan, Charlie Gardner e Damien Cash.
No mês pretérito, a Microsoft revelou que indivíduos de tá perfil que trabalham em assuntos do Oriente Médio foram escopo do rival para implantar malware porquê MischiefTut e MediaPl (também divulgado porquê EYEGLASS), que são capazes de coletar informações confidenciais de um host comprometido.
O grupo, considerado afiliado ao Corpo da Guarda Revolucionária Islâmica do Irã (IRGC), também distribuiu vários outros backdoors, porquê PowerLess, BellaCiao, POWERSTAR (também divulgado porquê GorjolEcho) e NokNok no ano pretérito, enfatizando sua lei em continuar seu ataque cibernético. , adaptando suas táticas e métodos apesar da exposição pública.
Os ataques de phishing observados entre setembro e outubro de 2023 envolveram os operadores Charming Kitten se passando por Instituto Internacional Rasanah de Estudos Iranianos (IIIS) para iniciar e edificar crédito com os alvos.
As tentativas de phishing também são caracterizadas pelo uso de contas de e-mail comprometidas pertencentes a contatos legítimos e múltiplas contas de e-mail controladas por agentes de ameaças, sendo a última chamada de representação de múltiplas pessoas (MPI).
As cadeias de ataque normalmente empregam arquivos RAR contendo arquivos LNK porquê ponto de partida para repartir malware, com as mensagens incentivando possíveis alvos a participar de um webinar falso sobre tópicos de seu interesse. Foi observada uma sequência de infecção em vários estágios para implantar BASICSTAR e KORKULOADER, um script de download do PowerShell.
BASICSTAR, um malware Visual Basic Script (VBS), é capaz de coletar informações básicas do sistema, executar remotamente comandos retransmitidos de um servidor de comando e controle (C2) e minguar e exibir um registro PDF falso.
Além do mais, alguns desses ataques de phishing são projetados para servir backdoors diferentes, dependendo do sistema operacional da máquina. Enquanto as vítimas do Windows são comprometidas com o POWERLESS, as vítimas do Apple macOS são escopo de uma prisão de infecção que culmina no NokNok por meio de um aplicativo VPN funcional que contém malware.
“Levante ator de ameaço está altamente comprometido em conduzir a vigilância de seus alvos, a término de prescrever a melhor forma de manipulá-los e implantar malware”, disseram os pesquisadores. “Ou por outra, poucos outros atores de ameaças produziram tantas campanhas de forma consistente quanto a CharmingCypress, dedicando operadores humanos para concordar seus esforços contínuos”.
A divulgação ocorre no momento em que a Recorded Future revela que o IRGC tem porquê escopo os países ocidentais, utilizando uma rede de empresas contratantes que também se especializam na exportação de tecnologias para vigilância e fins ofensivos para países porquê o Iraque, a Síria e o Líbano.
A relação entre as organizações militares e de perceptibilidade e os contratantes baseados no Irão assume a forma de vários centros cibernéticos que funcionam porquê “firewalls” para ocultar a entidade patrocinadora.
Eles incluem Ayandeh Sazan Sepher Aria (suspeito de estar associado a Emennet Pasargad), DSP Research Institute, Sabrin Kish, Soroush Saman, Mahak Rayan Afraz e a Parnian Telecommunication and Electronic Company.
“As empresas contratantes iranianas são estabelecidas e geridas por uma rede unida de personalidades, que, em alguns casos, representam os empreiteiros porquê membros do parecer”, afirmou a empresa. “Os indivíduos estão intimamente associados ao IRGC e, em alguns casos, são até representantes de entidades sancionadas (porquê a Instauração Cooperativa do IRGC).”
