De van Iraanse afkomst afkomstige dreigingsacteur, bekend als Charming Kitten, is in verband gebracht met een nieuwe reeks aanvallen gericht op beleidsexperts uit het Midden-Oosten met een nieuwe achterdeur genaamd BASICSTAR door een nep-webinarportaal te maken.
Charming Kitten, ook wel APT35, CharmingCypress, Mint Sandstorm, TA453 en Yellow Garuda genoemd, heeft een geschiedenis in het orkestreren van een breed scala aan social engineering-campagnes die een breed doel uitwerpen, waarbij vaak denktanks, NGO’s en journalisten worden uitgekozen.
“CharmingCypress maakt vaak gebruik van ongebruikelijke social-engineering-tactieken, zoals het betrekken van doelen bij langdurige gesprekken via e-mail voordat links naar kwaadaardige inhoud worden verzonden”, aldus Volexity-onderzoekers Ankur Saini, Callum Roxan, Charlie Gardner en Damien Cash.
Vorige maand onthulde Microsoft dat spraakmakende personen die zich bezighouden met zaken in het Midden-Oosten het doelwit zijn van de tegenstander om malware zoals MischiefTut en MediaPl (ook bekend als EYEGLASS) in te zetten die in staat zijn gevoelige informatie van een gecompromitteerde host te verzamelen.
De groep, waarvan wordt aangenomen dat ze banden heeft met de Iraanse Islamitische Revolutionaire Garde (IRGC), heeft het afgelopen jaar ook verschillende andere achterdeurtjes verspreid, zoals PowerLess, BellaCiao, POWERSTAR (ook bekend als GorjolEcho) en NokNok, waarmee de nadruk wordt gelegd op haar vastberadenheid om haar cyberaanval voort te zetten. , waarbij de tactieken en methoden worden aangepast ondanks publieke bekendheid.
Bij de phishing-aanvallen die tussen september en oktober 2023 werden waargenomen, waren de Charming Kitten-operators betrokken die zich voordeden als het Rasanah International Institute for Iraanse Studies (IIIS) om vertrouwen met doelen te initiëren en op te bouwen.
De phishing-pogingen worden ook gekenmerkt door het gebruik van gecompromitteerde e-mailaccounts van legitieme contacten en meerdere door bedreigingsactors gecontroleerde e-mailaccounts, waarvan de laatste Multi-Persona Impersonation (MPI) wordt genoemd.
De aanvalsketens gebruiken doorgaans RAR-archieven met LNK-bestanden als uitgangspunt om malware te verspreiden, waarbij de berichten potentiële doelwitten aansporen om deel te nemen aan een nep-webinar over onderwerpen die voor hen interessant zijn. Er is waargenomen dat een dergelijke meerfasige infectiesequentie BASICSTAR en KORKULOADER, een PowerShell-downloaderscript, implementeert.
BASICSTAR, een Visual Basic Script (VBS)-malware, kan basissysteeminformatie verzamelen, op afstand opdrachten uitvoeren die worden doorgegeven vanaf een command-and-control (C2)-server, en een lok-PDF-bestand downloaden en weergeven.
Bovendien zijn sommige van deze phishing-aanvallen ontworpen om verschillende achterdeurtjes te bedienen, afhankelijk van het besturingssysteem van de machine. Terwijl Windows-slachtoffers worden gecompromitteerd met POWERLESS, worden Apple macOS-slachtoffers het doelwit van een infectieketen die culmineert in NokNok via een functionele VPN-applicatie die doorspekt is met malware.
“Deze bedreigingsacteur is zeer toegewijd aan het uitvoeren van surveillance op zijn doelwitten om te bepalen hoe ze het beste kunnen worden gemanipuleerd en hoe malware kan worden ingezet”, aldus de onderzoekers. “Bovendien hebben weinig andere dreigingsactoren consequent zoveel campagnes gelanceerd als CharmingCypress, waarbij menselijke operators hun voortdurende inspanningen ondersteunen.”
De onthulling komt op het moment dat Recorded Future de aanvallen van de IRGC op westerse landen aan het licht bracht met behulp van een netwerk van contracterende bedrijven die ook gespecialiseerd zijn in het exporteren van technologieën voor surveillance en offensieve doeleinden naar landen als Irak, Syrië en Libanon.
De relatie tussen inlichtingen- en militaire organisaties en in Iran gevestigde contractanten neemt de vorm aan van verschillende cybercentra die fungeren als ‘firewalls’ om de sponsorende entiteit te verbergen.
Onder hen bevinden zich Ayandeh Sazan Sepher Aria (vermoedelijk geassocieerd met Emennet Pasargad), DSP Research Institute, Sabrin Kish, Soroush Saman, Mahak Rayan Afraz en de Parnian Telecommunication and Electronic Company.
“Iraanse aannemersbedrijven worden opgericht en geleid door een hecht netwerk van persona’s, die in sommige gevallen de aannemers vertegenwoordigen als bestuursleden”, aldus het bedrijf. “De individuen zijn nauw verbonden met de IRGC, en in sommige gevallen zijn ze zelfs vertegenwoordigers van gesanctioneerde entiteiten (zoals de IRGC Cooperative Foundation).”
