Търсене
Close this search box.

Нова версия на BellaCiao в мултидържавни атаки

Силно активната  иранска национална група, известна като Charming Kitten, се е насочила към множество жертви в САЩ, Европа, Близкия изток и Индия с нов зловреден софтуер, наречен BellaCiao, с което е допълнила постоянно разширяващия се списък с персонализирани инструменти.

Открит от Bitdefender Labs, BellaCiao е „персонализиран дропър“, който може да доставя други зловредни товари на машината на жертвата въз основа на команди, получени от контролиран  сървър.

„Всяка събрана извадка беше свързана с конкретна жертва и включваше твърдо кодирана информация като име на компания, специално създадени поддомейни или свързан публичен IP адрес“, заяви румънската фирма за киберсигурност в доклад, споделен с The Hacker News.

Charming Kitten, известна още като APT35, Cobalt Illusion, Educated Manticore, ITG18, Mint Sandstorm (née Phosphorus), TA453 и Yellow Garuda, е иранска държавно спонсорирана APT група, свързана с Корпуса на гвардейците на Ислямската революция (КГИР).

През годините групата е използвала различни средства за внедряване на задни врати в системи, принадлежащи на широк кръг индустриални вертикали.

Разработката идва, след като Microsoft приписа на тази група ответни атаки, насочени към обекти от критичната инфраструктура в САЩ в периода от края на 2021 г. до средата на 2022 г., като използва специално разработен зловреден софтуер като harmPower, Drokbk и Soldier.

След това по-рано тази седмица Check Point разкри, че Mint Sandstorm използва актуализирана версия на импланта PowerLess за нанасяне на удари по организации, разположени в Израел, като използва фишинг примамки на тема Ирак.

„Специално разработеният зловреден софтуер, известен още като „адаптиран“ зловреден софтуер, обикновено е по-труден за откриване, тъй като е специално създаден, за да избегне откриване, и съдържа уникален код“, отбеляза Мартин Зугек, изследовател от Bitdefender.

Точният начин на действие, използван за постигане на първоначалното проникване, засега не е установен, въпреки че се предполага, че е свързан с използването на известни уязвимости в приложения, изложени на въздействието на интернет, като Microsoft Exchange Server или Zoho ManageEngine.

Успешното проникване е последвано от опит на заплахата да деактивира Microsoft Defender с помощта на PowerShell команда и да установи постоянство на хоста чрез инстанция на услугата.

Bitdefender заяви, че също така е забелязал Charming Kitten да изтегля два модула на Internet Information Services (IIS), способни да обработват входящи инструкции и да ексфилтрират идентификационни данни.

От своя страна BellaCiao се отличава и с това, че на всеки 24 часа извършва DNS заявка за разрешаване на поддомейн към IP адрес, който впоследствие се анализира, за да се извлекат командите, които трябва да бъдат изпълнени на компрометираната система.

„Резолираният IP адрес е като истинския публичен IP адрес, но с леки модификации, които позволяват на BellaCiao да получи допълнителни инструкции“, обяснява Зугек.

В зависимост от резолирания IP адрес веригата на атаката води до разгръщане на уеб обвивка, която поддържа възможност за качване и изтегляне на произволни файлове, както и за изпълнение на команди.

Забелязан е и втори вариант на BellaCiao, който замества уеб обвивката с инструмент Plink – помощна програма за команден ред за PuTTY – който е предназначен за установяване на обратна прокси връзка с отдалечен сървър и реализира подобни функции на задната врата.

„Най-добрата защита срещу съвременните атаки включва прилагането на архитектура „защита в дълбочина“ – заключава Зугек. „Първата стъпка в този процес е да се намали повърхността на атаката, което включва ограничаване на броя на входните точки, които нападателите могат да използват, за да получат достъп до вашите системи, и своевременно поправяне на новооткрити уязвимости.“

Източник: The Hacker News

Подобни публикации

21 май 2024

Arm ще пусне чипове с ИИ през 2025 година

Съобщава се, че базираната в Обединеното кралство компания Arm, еди...
20 май 2024

Атака над ARRL постави радиолюбителите по света...

Американската радиорелейна лига (ARRL) предупреждава, че е претърпя...

Защита на вашите коммити от известни CVEs с Git...

Всички разработчици искат да създават сигурен и надежден софтуер. Т...
20 май 2024

Чрез GitHub и FileZilla се доставя коктейл от ...

Наблюдавана е „многостранна кампания“, при която се зло...
20 май 2024

7 бъга излезли на Pwn2Own все още чакат поправка

Редица сериозни грешки в Windows все още не са навлезли в криминалн...
20 май 2024

Китайци са арестувани за пране на 73 милиона до...

Министерството на правосъдието на САЩ повдигна обвинения на двама а...
Бъдете социални
Още по темата
20/05/2024

Атака над ARRL постави ради...

Американската радиорелейна лига (ARRL) предупреждава, че...
20/05/2024

Чрез GitHub и FileZilla се ...

Наблюдавана е „многостранна кампания“, при която...
19/05/2024

Grandoreiro се завръща по -...

Банковият троянец за Android „Grandoreiro“ се...
Последно добавени
21/05/2024

Arm ще пусне чипове с ИИ пр...

Съобщава се, че базираната в Обединеното...
20/05/2024

Атака над ARRL постави ради...

Американската радиорелейна лига (ARRL) предупреждава, че...
20/05/2024

Защита на вашите коммити от...

Всички разработчици искат да създават сигурен...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!