Charming Kittenと呼ばれるイラン起源の脅威アクターが、中東の政策専門家を狙った新たな攻撃キャンペーンで「BASICSTAR」と名付けられた新しいバックドアを使用していることが明らかになりました。この攻撃は、偽のウェビナーポータルを作成することで実施されています。
Charming Kitten、またはAPT35、CharmingCypress、Mint Sandstorm、TA453、Yellow Garudaとも呼ばれるこのグループは、シンクタンク、NGO、ジャーナリストをしばしば標的にする幅広い社会工学キャンペーンを組織することで知られています。
「CharmingCypressは、悪意のあるコンテンツへのリンクを送信する前に、ターゲットとの長期にわたるメールでの会話を行うなど、珍しい社会工学的戦術を頻繁に使用します」と、Volexityの研究者Ankur Saini、Callum Roxan、Charlie Gardner、Damien Cashは述べています。
先月、Microsoftは、中東の事務に取り組むハイプロファイルな個人が、MischiefTutやMediaPl(EYEGLASSとしても知られる)などのマルウェアを展開するために、この敵対者によって標的にされていることを明らかにしました。これらのマルウェアは、侵害されたホストから機密情報を収集する能力があります。
このグループは、過去1年間にPowerLess、BellaCiao、POWERSTAR(GorjolEchoとしても知られる)、NokNokなど、いくつかの他のバックドアも配布しており、公に露見したにもかかわらず、その戦術と方法を適応させ、サイバー攻撃を続ける決意を強調しています。
2023年9月から10月にかけて観察されたフィッシング攻撃では、Charming KittenのオペレーターがRasanah International Institute for Iranian Studies (IIIS)を装い、ターゲットとの信頼を築き始めるためにポーズをとっています。
これらのフィッシング試みは、正当な連絡先に属する侵害されたメールアカウントと、複数の脅威アクターが管理するメールアカウント(Multi-Persona Impersonation(MPI)と呼ばれる)の使用によっても特徴付けられます。
攻撃チェーンは通常、マルウェアを配布する起点としてLNKファイルを含むRARアーカイブを使用し、見込み客に興味のあるトピックに関する偽のウェビナーに参加するよう促すメッセージを使用します。このような多段階の感染シーケンスでは、BASICSTARとKORKULOADER(PowerShellダウンローダースクリプト)が展開されることが観察されています。
BASICSTARは、Visual Basic Script(VBS)マルウェアで、基本的なシステム情報の収集、コマンドアンドコントロール(C2)サーバーから中継されたコマンドのリモート実行、および囮のPDFファイルのダウンロードと表示が可能です。
さらに、これらのフィッシング攻撃のいくつかは、マシンのオペレーティングシステムに応じて異なるバックドアを提供するように設計されています。Windowsの被害者はPOWERLESSで侵害され、Apple macOSの被害者はマルウェアが仕込まれた機能的なVPNアプリケーションを介してNokNokによって最終的に感染します。
「この脅威アクターは、ターゲットを監視し、どのように最も効果的に操作してマルウェアを展開するかを決定するために、高いコミットメントを持っています」と研究者は述べています。「さらに、CharmingCypressのように、多くのキャンペーンを一貫して生み出し、その継続的な努力を支えるために人間のオペレーターを割り当てている他の脅威アクターはほとんどありません。」
引用元: https://thehackernews.com/2024/02/iranian-hackers-target-middle-east.html