خانه » بکدور BASICSTAR در نفوذ به کارشناسان حوزه سیاست خاورمیانه مشاهده شد

بکدور BASICSTAR در نفوذ به کارشناسان حوزه سیاست خاورمیانه مشاهده شد

توسط Vulnerbyte
104 بازدید
بکدور BASICSTAR

عامل تهدید ایرانی که به نام Charming Kitten (بچه گربه جذاب) شناخته می‌شود از طریق ایجاد یک پورتال وبینار جعلی حاوی بکدور جدیدی به نام BASICSTAR با مجموعه جدیدی از حملات به کارشناسان حوزه سیاست خاورمیانه مرتبط می‌باشد.

Charming Kitten که APT35، CharmingCypress، Mint Sandstorm، TA453 و Yellow Garuda نیز نامیده می‌‌شود، سابقه سازماندهی طیف گسترده‌‌ای از کمپین‌‌های مهندسی اجتماعی را دارد که شبکه های بزرگ را مورد هدف قرار داده و اغلب بر روی پژوهشکده‌ها، سازمان‌های غیردولتی و روزنامه ‌نگاران متمرکز می‌باشند.

Ankur Saini، Callum Roxan، Charlie Gardner و Damien Cash از محققان Volexity طی گزارشی که در سیزدهم فوریه به اشتراک گذاشتند، اظهار داشتند که CharmingCypress اغلب از تاکتیک‌های مهندسی اجتماعی غیرمتداول مانند مکالمات طولانی مدت با اهداف از طریق ایمیل قبل از ارسال لینک به محتوای مخرب استفاده می‌کند.

بکدور BASICSTAR

مایکروسافت ماه گذشته(ژانویه)، افشا کرد که افراد برجسته ‌ای که در امور خاورمیانه فعال می‌باشند، توسط مهاجم مورد هدف قرار گرفته‌‌اند تا بدافزارهایی مانند MischiefTut و MediaPl (معروف به EYEGLASS) را که قادر به جمع ‌آوری اطلاعات حساس از یک میزبان هک شده می‌باشند، مستقر نمایند.

این گروه که وابسته به سپاه پاسداران انقلاب اسلامی ایران (IRGC) ارزیابی می‌شود، همچنین چندین بکدور دیگر مانند PowerLess، BellaCiao، POWERSTAR (معروف به GorjolEcho) و NokNok را در سال گذشته توزیع کرده است و بر هدف خود برای ادامه حملات سایبری تأکید داشته است. همچنین این گروه تاکتیک‌ها و روش های خود را به طور منظم بروز رسانی می‌کند.

اپراتورهای Charming Kitten حملات فیشینگی را بین سپتامبر و اکتبر 2023 به انجام رساندند و خود را به عنوان مؤسسه بین المللی ایران شناسی رسانا (IIIS[1]) به منظور آغاز ارتباط و ایجاد اعتماد در اهداف معرفی کردند.

بکدور BASICSTAR

تلاش ‌های فیشینگ همچنین با استفاده از حساب‌های ایمیل هک شده متعلق به مخاطبین قانونی و چندین حساب ایمیل تحت کنترل عامل تهدید انجام می‌شدند که مورد دوم جعل هویت چند نفره (MPI) نامیده می‌‌شود.

زنجیره حملات معمولاً از آرشیو‌های RAR حاوی فایل‌های LNK به عنوان نقطه آغاز عملیات جهت توزیع بدافزار استفاده می‌کنند همچنین زنجیره حمله شامل پیام‌هایی است که از اهداف احتمالی درخواست می‌کنند تا به یک وبینار جعلی درباره موضوعات مورد علاقه خود بپیوندند. یکی از این زنجیره‌های حمله چند مرحله‌ای برای استقرار بکدور BASICSTAR و KORKULOADER، یک اسکریپت دانلودر PowerShell مشاهده شده است.

بکدور BASICSTAR، یک بدافزار اسکریپت ویژوال بیسیک (VBS) است که قادر به جمع ‌آوری اطلاعات اولیه سیستم، اجرای دستورات راه دور از سرور فرمان و کنترل (C2) و دانلود و نمایش یک فایل PDF طعمه فریبنده است.

بکدور BASICSTAR

علاوه بر این، برخی از حملات فیشینگ برای سرویس دهی به بکدورهای مختلف بسته به سیستم عامل دستگاه طراحی شده‌اند. در حالی که قربانیان ویندوز توسط POWERLESS تحت نفوذ قرار می‌گیرند، قربانیان macOS اپل با یک زنجیره نفوذ که در NokNok به اوج خود می رسد از طریق یک اپلیکیشن VPN که مملو از بدافزار است، مورد هدف قرار می‌گیرند.

بکدور BASICSTAR

این عامل تهدید بسیار متعهد به انجام نظارت بر اهداف خود است تا تعیین کند چگونه آنها را به بهترین نحو مورد هدف قرار داده و بدافزار را به کار گیرد. علاوه بر این، تعداد کمی از عاملان تهدید به طور مداوم به اندازه CharmingCypress کمپین هایی راه اندازی کرده اند و اپراتورهای انسانی را برای حمایت از تلاش های مداوم خود اختصاص داده اند.

این افشاگری در حالی صورت می‌پذیرد که Recorded Future از مورد هدف قرار دادن کشورهای غربی توسط سپاه پاسداران انقلاب اسلامی با استفاده از شبکه‌‌ای از شرکت‌ های پیمانکاری که در انتقال فناوری ‌های نظارتی و اهداف تهاجمی به کشورهایی مانند عراق، سوریه و لبنان تخصص دارند، خبر داده است.

رابطه بین سازمان‌ های اطلاعاتی و نظامی و پیمانکاران مستقر در ایران به شکل مراکز سایبری مختلفی است که به عنوان  فایروال جهت پنهان کردن نهاد حامی عمل می‌کنند. این شرکت ها عبارتند از آینده سازان سپهر آریا (مظنون به ارتباط با ایمن نت پاسارگاد)، پژوهشکده DSP، صابرین کیش، سروش سامان، محک رایان افراز و شرکت مخابرات و الکترونیک پرنیان.

شرکت Recorded Future طی گزارشی که در بیست و پنجم ژانویه منتشر نمود، اذعان داشت که شرکت‌‌های پیمانکاری ایرانی توسط شبکه ‌ای از شخصیت ‌ها تأسیس و اداره می ‌شوند که در برخی موارد، پیمانکاران به عنوان اعضای هیئت مدیره نمایندگی را بر عهده می‌گیرند. این افراد ارتباط تنگاتنگی با سپاه داشته و در برخی موارد حتی نماینده نهادهای تحریم شده (مانند بنیاد تعاون سپاه) نیز می‌باشند.

چندی پیش نیز در اواسط ژانویه ۲۰۲۴، افراد برجسته‌ای که در زمینه امور خاورمیانه در دانشگاه‌ها و سازمان‌های تحقیقاتی در بلژیک، فرانسه، غزه، اسرائیل، بریتانیا و ایالات متحده فعالیت می‌کنند، از نوامبر ۲۰۲۳ هدف یک گروه جاسوسی سایبری ایرانی به نام Mint Sandstorm قرار گرفته‌اند. تیم اطلاعات تهدید مایکروسافت طی تحلیلی در هفدهم ژانویه ۲۰۲۴ اعلام کرد که این عامل تهدید از طعمه‌ها و فریب‌های فیشینگ سفارشی در تلاش برای مهندسی اجتماعی اهداف به منظور دانلود فایل‌های مخرب استفاده می‌کند. گزارش کامل این حمله جاوسی را می‌توانید از اینجا بخوانید.

[1] Rasanah International Institute for Iranian Studies

منابع

همچنین ممکن است دوست داشته باشید

پیام بگذارید