Η ιρανική ομάδα hacking Charming Kitten, στοχεύει ενεργά πολλαπλά θύματα στις ΗΠΑ, την Ευρώπη, τη Μέση Ανατολή και την Ινδία με ένα νέο κακόβουλο λογισμικό με την ονομασία BellaCiao, προσθέτοντας το στον συνεχώς διευρυνόμενο κατάλογο των προσαρμοσμένων εργαλείων της.
Το BellaCiao, που ανακαλύφθηκε από την Bitdefender Labs, είναι ένας “εξατομικευμένος dropper” που είναι ικανός να παραδίδει άλλα ωφέλιμα φορτία κακόβουλου λογισμικού σε ένα μηχάνημα με βάση τις εντολές που λαμβάνει από έναν ελεγχόμενο από τον δράστη διακομιστή.
Η Charming Kitten, επίσης γνωστή ως APT35, Cobalt Illusion, Educated Manticore, ITG18, Mint Sandstorm (πρώην Phosphorus), TA453 και Yellow Garuda, είναι μια ιρανική κρατική ομάδα APT που συνδέεται με το Islamic Revolutionary Guard Corps (IRGC).
Με την πάροδο των ετών, η ομάδα έχει χρησιμοποιήσει διάφορα μέσα για να αναπτύξει backdoors σε συστήματα που ανήκουν σε ένα ευρύ φάσμα βιομηχανιών.
Η εξέλιξη αυτή έρχεται καθώς ο απειλητικός φορέας αποδόθηκε από τη Microsoft σε ανταποδοτικές επιθέσεις με στόχο οντότητες κρίσιμων υποδομών στις ΗΠΑ μεταξύ των τελών του 2020 και των μέσων του 2022, χρησιμοποιώντας ειδικά σχεδιασμένα κακόβουλα προγράμματα όπως τα CharmPower, Drokbk και Soldier.
Δείτε επίσης: Ουκρανός πούλησε δεδομένα 300 εκατομμυρίων πολιτών σε Ρώσους
Νωρίτερα αυτή την εβδομάδα, η Check Point αποκάλυψε ότι η Mint Sandstorm είχε χρησιμοποιήσει μια ενημερωμένη έκδοση του PowerLess implant για να στοχεύσει οργανισμούς που βρίσκονται στο Ισραήλ μέσω phishing lures με θέμα το Ιράκ.
Ο ακριβής τρόπος λειτουργίας που χρησιμοποιήθηκε για την επίτευξη της αρχικής εισβολής δεν έχει προς το παρόν προσδιοριστεί, αν και υπάρχουν υποψίες ότι περιλαμβάνει την εκμετάλλευση γνωστών ευπαθειών σε εφαρμογές που εκτίθενται στο διαδίκτυο, όπως ο Microsoft Exchange Server ή το Zoho ManageEngine.
Μετά από μια επιτυχημένη παραβίαση, ο απειλητικός παράγοντας επιχειρεί να απενεργοποιήσει το Microsoft Defender χρησιμοποιώντας μια εντολή PowerShell και να δημιουργήσει persistence στον host μέσω ενός service instance.
Η Bitdefender δήλωσε ότι είχε επίσης παρατηρήσει ότι η Charming Kitten κατέβαζε δύο modules των Internet Information Services (IIS), οι οποίες ήταν ικανές να επεξεργάζονται τις εισερχόμενες οδηγίες και να κλέβουν credentials.
Δείτε επίσης: Η PrestaShop διορθώνει ένα bug που επιτρέπει σε κάθε backend user να διαγράφει databases
Το BellaCiao, από την πλευρά του, είναι αξιοσημείωτο ότι εκτελεί ένα αίτημα DNS κάθε 24 ώρες για την επίλυση ενός sub-domain σε μια διεύθυνση IP, η οποία στη συνέχεια αναλύεται για να εξαχθούν οι εντολές που πρέπει να εκτελεστούν στο παραβιασμένο σύστημα.
Επικοινωνεί με έναν ελεγχόμενο από τον επιτιθέμενο DNS server που στέλνει κακόβουλες, σκληρά κωδικοποιημένες οδηγίες μέσω μιας επιλυμένης διεύθυνσης IP που μιμείται την πραγματική διεύθυνση IP του στόχου. Το αποτέλεσμα είναι η ρίψη πρόσθετου malware μέσω hard-coded οδηγιών αντί για παραδοσιακές λήψεις.
Ανάλογα με τη διεύθυνση IP που επιλύεται, το attack chain οδηγεί στο deployment ενός web shell που υποστηρίζει τη δυνατότητα μεταφόρτωσης και λήψης αυθαίρετων αρχείων, καθώς και εκτέλεσης εντολών.
Δείτε επίσης: PaperCut servers επιθέσεις: Οι συμμορίες ransomware Clop & Lockbit είναι υπεύθυνες
Επιπλέον, έχει εντοπιστεί μια δεύτερη παραλλαγή του BellaCiao, η οποία αντικαθιστά το web shell με το Plink – ένα βοηθητικό πρόγραμμα γραμμής εντολών για το PuTTY – που έχει σχεδιαστεί για να δημιουργήσει ένα reverse proxy connection σε έναν remote server και να εφαρμόσει παρόμοια χαρακτηριστικά backdoor.
Η εκστρατεία, η οποία έχει στοχεύσει μια πληθώρα βιομηχανιών και μεγεθών εταιρειών, πιστεύεται ότι είναι το αποτέλεσμα ευκαιριακών επιθέσεων, όπου το BellaCiao προσαρμόζεται και αναπτύσσεται εναντίον προσεκτικά επιλεγμένων θυμάτων ενδιαφέροντος μετά την αδιάκριτη εκμετάλλευση ευάλωτων συστημάτων.
Πηγή πληροφοριών: thehackernews.com
