İranlı Hackerlar Yeni BASICSTAR Arka Kapısı ile Orta Doğu Politika Uzmanlarını Hedef Alıyor

19.02.2024

Iran kökenli Charming Kitten adlı grub, Orta Doğu politika uzmanlarını hedef alan yeni saldırılarla bağlantılı olarak ortaya çıktı. Bu saldırılar, sahte bir webinar portalı aracılığıyla dağıtılan BASICSTAR adlı yeni bir arka kapının kullanımını içermektedir. APT35, CharmingCypress, Mint Sandstorm, TA453 ve Yellow Garuda olarak da bilinen Charming Kitten, genellikle düşünce kuruluşları, sivil toplum kuruluşları ve gazetecileri hedefleyen sosyal mühendislik kampanyaları düzenleme geçmişine sahiptir.

Volexity'den araştırmacılar, CharmingCypress'in hedefleri sahte webinarlara katılmaya teşvik etmeden önce hedeflerle uzun süreli e-posta konuşmalarına girmek gibi benzersiz sosyal mühendislik taktikleri kullandığını belirttiler. Microsoft'un son açıklamasına göre, Orta Doğu ile ilgili yüksek profilli kişilere, MischiefTut ve MediaPl (aka EYEGLASS) gibi hassas bilgileri toplayabilen zararlı yazılımları dağıtmak için Charming Kitten tarafından hedeflenmiştir.

İran'ın İslam Devrim Muhafızları Ordusu (IRGC) ile ilişkilendirilen Charming Kitten, geçtiğimiz yıl içinde PowerLess, BellaCiao, POWERSTAR (aka GorjolEcho) ve NokNok dahil çeşitli arka kapıları dağıttı. Grup, kamuya açıklanmasına rağmen taktiklerini uyarlayarak kararlı bir şekilde faaliyet gösteriyor.

2023 Eylül ve Ekim ayları arasında gözlemlenen phishing saldırıları, Charming Kitten'ın Rasanah International Institute for Iranian Studies (IIIS) olarak kendini tanıtarak hedeflerle güven oluşturmasını içeriyor. Saldırılar, kompromize edilmiş e-posta hesapları ve Multi-Persona Impersonation (MPI) kullanımını içeriyor.

Saldırı zincirleri genellikle malware'ı dağıtmak için RAR arşivleri ve LNK dosyalarını içeren, hedefleri ilgi çekici konularda sahte bir webinara katılmaya çağıran saldırıları içerir. Çok aşamalı bir enfeksiyon dizisi, BASICSTAR ve bir PowerShell indirme betiği olan KORKULOADER'ı dağıtıyor.

BASICSTAR, bir Visual Basic Script (VBS) kötü amaçlı yazılımıdır ve sistem bilgisi toplar, bir komuta kontrol (C2) sunucudan komutları yürütür ve decoy PDF dosyalarını indirir/görüntüler. Bazı saldırılar işletim sistemine bağlı olarak farklı backdoor'ları hedefler; Windows kurbanları POWERLESS ile kompromize edilirken, macOS kurbanları NokNok'u bir VPN uygulaması aracılığıyla hedefler.

CharmingCypress, gözetim ve malware dağıtma konusunda yüksek bir bağlılık düzeyi sergiler ve tutarlı bir şekilde kampanyalar düzenler. Recorded Future ayrıca IRGC'nin Batı ülkelerini, gözetim ve saldırı teknolojilerine odaklanmış bir dizi taşeron şirket aracılığıyla hedef aldığını ortaya çıkardı.

IRGC ile ilişkilendirilen İranlı taşeron şirketler, destekleyen varlığı gizleyen "güvenlik duvarları" olarak hareket eder. Bunlar arasında Ayandeh Sazan Sepher Aria, DSP Research Institute, Sabrin Kish, Soroush Saman, Mahak Rayan Afraz ve Parnian Telecommunication and Electronic Company bulunmaktadır. Bu şirketleri işleten kişiler, IRGC ile yakından ilişkilidir ve bazıları yaptırım uygulanan varlıkları temsil etmektedir.