Силно активната  иранска национална група, известна като Charming Kitten, се е насочила към множество жертви в САЩ, Европа, Близкия изток и Индия с нов зловреден софтуер, наречен BellaCiao, с което е допълнила постоянно разширяващия се списък с персонализирани инструменти.

Открит от Bitdefender Labs, BellaCiao е „персонализиран дропър“, който може да доставя други зловредни товари на машината на жертвата въз основа на команди, получени от контролиран  сървър.

„Всяка събрана извадка беше свързана с конкретна жертва и включваше твърдо кодирана информация като име на компания, специално създадени поддомейни или свързан публичен IP адрес“, заяви румънската фирма за киберсигурност в доклад, споделен с The Hacker News.

Charming Kitten, известна още като APT35, Cobalt Illusion, Educated Manticore, ITG18, Mint Sandstorm (née Phosphorus), TA453 и Yellow Garuda, е иранска държавно спонсорирана APT група, свързана с Корпуса на гвардейците на Ислямската революция (КГИР).

През годините групата е използвала различни средства за внедряване на задни врати в системи, принадлежащи на широк кръг индустриални вертикали.

Разработката идва, след като Microsoft приписа на тази група ответни атаки, насочени към обекти от критичната инфраструктура в САЩ в периода от края на 2021 г. до средата на 2022 г., като използва специално разработен зловреден софтуер като harmPower, Drokbk и Soldier.

След това по-рано тази седмица Check Point разкри, че Mint Sandstorm използва актуализирана версия на импланта PowerLess за нанасяне на удари по организации, разположени в Израел, като използва фишинг примамки на тема Ирак.

„Специално разработеният зловреден софтуер, известен още като „адаптиран“ зловреден софтуер, обикновено е по-труден за откриване, тъй като е специално създаден, за да избегне откриване, и съдържа уникален код“, отбеляза Мартин Зугек, изследовател от Bitdefender.

Точният начин на действие, използван за постигане на първоначалното проникване, засега не е установен, въпреки че се предполага, че е свързан с използването на известни уязвимости в приложения, изложени на въздействието на интернет, като Microsoft Exchange Server или Zoho ManageEngine.

Успешното проникване е последвано от опит на заплахата да деактивира Microsoft Defender с помощта на PowerShell команда и да установи постоянство на хоста чрез инстанция на услугата.

Bitdefender заяви, че също така е забелязал Charming Kitten да изтегля два модула на Internet Information Services (IIS), способни да обработват входящи инструкции и да ексфилтрират идентификационни данни.

От своя страна BellaCiao се отличава и с това, че на всеки 24 часа извършва DNS заявка за разрешаване на поддомейн към IP адрес, който впоследствие се анализира, за да се извлекат командите, които трябва да бъдат изпълнени на компрометираната система.

„Резолираният IP адрес е като истинския публичен IP адрес, но с леки модификации, които позволяват на BellaCiao да получи допълнителни инструкции“, обяснява Зугек.

В зависимост от резолирания IP адрес веригата на атаката води до разгръщане на уеб обвивка, която поддържа възможност за качване и изтегляне на произволни файлове, както и за изпълнение на команди.

Забелязан е и втори вариант на BellaCiao, който замества уеб обвивката с инструмент Plink – помощна програма за команден ред за PuTTY – който е предназначен за установяване на обратна прокси връзка с отдалечен сървър и реализира подобни функции на задната врата.

„Най-добрата защита срещу съвременните атаки включва прилагането на архитектура „защита в дълбочина“ – заключава Зугек. „Първата стъпка в този процес е да се намали повърхността на атаката, което включва ограничаване на броя на входните точки, които нападателите могат да използват, за да получат достъп до вашите системи, и своевременно поправяне на новооткрити уязвимости.“