Das iranische Bedrohungsakteur Charming Kitten wurde mit einer neuen Angriffswelle gegen Nahost-Politikexperten in Verbindung gebracht, bei der ein neuer Hinterausgang namens BASICSTAR durch die Erstellung eines gefälschten Webinar-Portals verwendet wurde.
Charmin Kitten, auch bekannt als APT35, CharmingCypress, Mint Sandstorm, TA453 und Yellow Garuda, hat eine Geschichte der Durchführung einer Vielzahl von Social Engineering-Kampagnen, die sich oft auf Denkfabriken, NGOs und Journalisten konzentrieren.
Letzten Monat enthüllte Microsoft, dass hochrangige Personen, die im Nahen Osten tätig sind, vom Gegner angegriffen wurden, um Malware wie MischiefTut und MediaPl (auch bekannt als EYEGLASS) einzusetzen, die in der Lage sind, sensible Informationen von einem kompromittierten Host zu sammeln.
Die Gruppe wird dem Islamischen Revolutionsgardenkorps (IRGC) des Iran zugeordnet und hat im vergangenen Jahr mehrere andere Hinterausgänge wie PowerLess, BellaCiao, POWERSTAR (auch bekannt als GorjolEcho) und NokNok verteilt, was ihre Entschlossenheit verdeutlicht, ihren Cyber-Angriff fortzusetzen und ihre Taktiken trotz öffentlicher Bloßstellung anzupassen.
Die Phishing-Angriffe zwischen September und Oktober 2023 beinhalten, dass die Charming Kitten-Betreiber sich als das Rasanah International Institute for Iranian Studies (IIIS) ausgeben, um Vertrauen bei Zielen aufzubauen.
Die Angriffsketten verwenden in der Regel RAR-Archive mit LNK-Dateien als Ausgangspunkt zur Verteilung von Malware, wobei die Nachrichten potenzielle Ziele auffordern, an einem gefälschten Webinar zu Themen teilzunehmen, die sie interessieren. Ein solcher mehrstufiger Infektionsablauf hat zur Bereitstellung von BASICSTAR und KORKULOADER, einem PowerShell-Downloader-Skript, geführt.
Die Enthüllung erfolgt, während Recorded Future IRGCs Ausrichtung auf westliche Länder aufdeckte, wobei ein Netzwerk von Vertragsunternehmen eingesetzt wird, die sich auch auf den Export von Technologien für Überwachungs- und offensive Zwecke in Länder wie den Irak, Syrien und Libanon spezialisiert haben.
Die Beziehung zwischen Nachrichtendienst- und Militärorganisationen und im Iran ansässigen Auftragnehmern nimmt die Form von verschiedenen Cyberzentren an, die als „Firewalls“ fungieren, um die sponsoring Einheit zu verbergen.
