Нова версия на BellaCiao в мултидържавни атаки

Силно активната  иранска национална група, известна като Charming Kitten, се е насочила към множество жертви в САЩ, Европа, Близкия изток и Индия с нов зловреден софтуер, наречен BellaCiao, с което е допълнила постоянно разширяващия се списък с персонализирани инструменти.

Открит от Bitdefender Labs, BellaCiao е „персонализиран дропър“, който може да доставя други зловредни товари на машината на жертвата въз основа на команди, получени от контролиран  сървър.

„Всяка събрана извадка беше свързана с конкретна жертва и включваше твърдо кодирана информация като име на компания, специално създадени поддомейни или свързан публичен IP адрес“, заяви румънската фирма за киберсигурност в доклад, споделен с The Hacker News.

Charming Kitten, известна още като APT35, Cobalt Illusion, Educated Manticore, ITG18, Mint Sandstorm (née Phosphorus), TA453 и Yellow Garuda, е иранска държавно спонсорирана APT група, свързана с Корпуса на гвардейците на Ислямската революция (КГИР).

През годините групата е използвала различни средства за внедряване на задни врати в системи, принадлежащи на широк кръг индустриални вертикали.

Разработката идва, след като Microsoft приписа на тази група ответни атаки, насочени към обекти от критичната инфраструктура в САЩ в периода от края на 2021 г. до средата на 2022 г., като използва специално разработен зловреден софтуер като harmPower, Drokbk и Soldier.

След това по-рано тази седмица Check Point разкри, че Mint Sandstorm използва актуализирана версия на импланта PowerLess за нанасяне на удари по организации, разположени в Израел, като използва фишинг примамки на тема Ирак.

„Специално разработеният зловреден софтуер, известен още като „адаптиран“ зловреден софтуер, обикновено е по-труден за откриване, тъй като е специално създаден, за да избегне откриване, и съдържа уникален код“, отбеляза Мартин Зугек, изследовател от Bitdefender.

Точният начин на действие, използван за постигане на първоначалното проникване, засега не е установен, въпреки че се предполага, че е свързан с използването на известни уязвимости в приложения, изложени на въздействието на интернет, като Microsoft Exchange Server или Zoho ManageEngine.

Успешното проникване е последвано от опит на заплахата да деактивира Microsoft Defender с помощта на PowerShell команда и да установи постоянство на хоста чрез инстанция на услугата.

Bitdefender заяви, че също така е забелязал Charming Kitten да изтегля два модула на Internet Information Services (IIS), способни да обработват входящи инструкции и да ексфилтрират идентификационни данни.

От своя страна BellaCiao се отличава и с това, че на всеки 24 часа извършва DNS заявка за разрешаване на поддомейн към IP адрес, който впоследствие се анализира, за да се извлекат командите, които трябва да бъдат изпълнени на компрометираната система.

„Резолираният IP адрес е като истинския публичен IP адрес, но с леки модификации, които позволяват на BellaCiao да получи допълнителни инструкции“, обяснява Зугек.

В зависимост от резолирания IP адрес веригата на атаката води до разгръщане на уеб обвивка, която поддържа възможност за качване и изтегляне на произволни файлове, както и за изпълнение на команди.

Забелязан е и втори вариант на BellaCiao, който замества уеб обвивката с инструмент Plink – помощна програма за команден ред за PuTTY – който е предназначен за установяване на обратна прокси връзка с отдалечен сървър и реализира подобни функции на задната врата.

„Най-добрата защита срещу съвременните атаки включва прилагането на архитектура „защита в дълбочина“ – заключава Зугек. „Първата стъпка в този процес е да се намали повърхността на атаката, което включва ограничаване на броя на входните точки, които нападателите могат да използват, за да получат достъп до вашите системи, и своевременно поправяне на новооткрити уязвимости.“

Източник: The Hacker News

Подобни публикации

5 декември 2023

СМС измамите - как да се предпазим

Получавали ли сте някога нежелано текстово съобщение, което обещава...
4 декември 2023

Ирански хакери превземат контролери на водни съ...

Критичната инфраструктура в няколко американски щата може да е била...
4 декември 2023

Рансъмуерът е безмилостен: какво можете да напр...

Не само, че броят на рансъмуерите се увеличава, но този вид зловред...
3 декември 2023

Свалянето на Qakbot: Смекчаване на последиците ...

Министерството на правосъдието на САЩ и ФБР наскоро си сътрудничиха...
2 декември 2023

Владимир Дунаев е осъден за създаването на злов...

Министерството на правосъдието на САЩ обяви, че руски гражданин е п...
2 декември 2023

Клиентите на онлайн туристическата агенция Book...

Една от най-големите онлайн туристически агенции в света – Booking....
2 декември 2023

Националната ядрена лаборатория на Айдахо е бил...

Националната лаборатория на Айдахо (INL), една от 17-те национални ...
Бъдете социални
Още по темата
30/11/2023

Dollar Tree е жертва на нар...

Веригата дисконтови магазини Dollar Tree беше...
29/11/2023

Ирански хакери експлоатират...

Агенцията за киберсигурност и инфраструктура в...
28/11/2023

Хакери компрометираха чувст...

Rivers Casino Des Plaines е засегнато...
Последно добавени
05/12/2023

СМС измамите - как да се пр...

Получавали ли сте някога нежелано текстово...
04/12/2023

Ирански хакери превземат ко...

Критичната инфраструктура в няколко американски щата...
04/12/2023

Рансъмуерът е безмилостен: ...

Не само, че броят на рансъмуерите...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!