Очаровательный котенок держит в страхе Ближний Восток: шпионский бэкдор BASICSTAR в действии

Ближний Восток накрыла новая волна кибератак, организованных иранской хакерской группировкой Charming Kitten, также известной как APT35 CharmingCypress и Mint Sandstorm. Хакеры используют новый вредоносный бэкдор под названием BASICSTAR для нападений на политических экспертов.

Группировка создала поддельный портал для вебинаров, якобы от Международного института иранских исследований Расана. Это позволило наладить контакт и завоевать доверие жертв. Целевые специалисты начали получать электронные письма с приглашениями на онлайн-конференции по интересующим их темам.

К письмам были прикреплены вредоносные вложения, которые при открытии устанавливали на компьютер BASICSTAR и другие программы. Для распространения бэкдора использовались архивы RAR с LNK-файлами.

По сути, BASICSTAR представляет собой вредоносный скрипт на Visual Basic Script. Он способен собирать базовую системную информацию, удаленно выполнять команды злоумышленников и скачивать файлы. После установки система показывает жертве поддельный PDF, чтобы не вызвать подозрений.

Хакеры использовали BASICSTAR в качестве основного инструмента. Кроме того, в зависимости от операционной системы цели они применяли дополнительные вредоносные программы: POWERLESS для Windows и NokNok для MacOS.

Эксперты отмечают, что Charming Kitten в последнее время очень активна и постоянно совершенствует методы атак. Группа тщательно изучает своих жертв, чтобы выбрать наиболее эффективную стратегию.

«Группировка CharmingCypress часто применяет необычные тактики социальной инженерии, например, вовлекает жертв в длительную переписку по электронной почте, прежде чем отправить ссылки с вредоносным содержимым», - отмечают исследователи компании Volexity

Предполагается, что Charming Kitten связана с Корпусом стражей исламской революции и проводит кибероперации в её интересах. В прошлом они уже запускали кампании против мозговых центров, НКО и журналистов в регионе.

В последних атаках злоумышленники использовали взломанные учетные записи людей, с которыми жертвы знакомы лично. Также было создано несколько поддельных почтовых ящиков. Некоторые были убеждены, что получают письма от своих друзей или коллег. Подобную тактику эксперты называют Multi-Persona Impersonation (MPI).

Кроме того, группировка Charming Kitten зарегистрировала в Иране много подставных, якобы легитимных IT-компаний. Они занимаются разработкой средств кибершпионажа и слежения, при этом скрывая прямые связи с госструктурами.