Нова версия на BellaCiao в мултидържавни атаки

Силно активната  иранска национална група, известна като Charming Kitten, се е насочила към множество жертви в САЩ, Европа, Близкия изток и Индия с нов зловреден софтуер, наречен BellaCiao, с което е допълнила постоянно разширяващия се списък с персонализирани инструменти.

Открит от Bitdefender Labs, BellaCiao е „персонализиран дропър“, който може да доставя други зловредни товари на машината на жертвата въз основа на команди, получени от контролиран  сървър.

„Всяка събрана извадка беше свързана с конкретна жертва и включваше твърдо кодирана информация като име на компания, специално създадени поддомейни или свързан публичен IP адрес“, заяви румънската фирма за киберсигурност в доклад, споделен с The Hacker News.

Charming Kitten, известна още като APT35, Cobalt Illusion, Educated Manticore, ITG18, Mint Sandstorm (née Phosphorus), TA453 и Yellow Garuda, е иранска държавно спонсорирана APT група, свързана с Корпуса на гвардейците на Ислямската революция (КГИР).

През годините групата е използвала различни средства за внедряване на задни врати в системи, принадлежащи на широк кръг индустриални вертикали.

Разработката идва, след като Microsoft приписа на тази група ответни атаки, насочени към обекти от критичната инфраструктура в САЩ в периода от края на 2021 г. до средата на 2022 г., като използва специално разработен зловреден софтуер като harmPower, Drokbk и Soldier.

След това по-рано тази седмица Check Point разкри, че Mint Sandstorm използва актуализирана версия на импланта PowerLess за нанасяне на удари по организации, разположени в Израел, като използва фишинг примамки на тема Ирак.

„Специално разработеният зловреден софтуер, известен още като „адаптиран“ зловреден софтуер, обикновено е по-труден за откриване, тъй като е специално създаден, за да избегне откриване, и съдържа уникален код“, отбеляза Мартин Зугек, изследовател от Bitdefender.

Точният начин на действие, използван за постигане на първоначалното проникване, засега не е установен, въпреки че се предполага, че е свързан с използването на известни уязвимости в приложения, изложени на въздействието на интернет, като Microsoft Exchange Server или Zoho ManageEngine.

Успешното проникване е последвано от опит на заплахата да деактивира Microsoft Defender с помощта на PowerShell команда и да установи постоянство на хоста чрез инстанция на услугата.

Bitdefender заяви, че също така е забелязал Charming Kitten да изтегля два модула на Internet Information Services (IIS), способни да обработват входящи инструкции и да ексфилтрират идентификационни данни.

От своя страна BellaCiao се отличава и с това, че на всеки 24 часа извършва DNS заявка за разрешаване на поддомейн към IP адрес, който впоследствие се анализира, за да се извлекат командите, които трябва да бъдат изпълнени на компрометираната система.

„Резолираният IP адрес е като истинския публичен IP адрес, но с леки модификации, които позволяват на BellaCiao да получи допълнителни инструкции“, обяснява Зугек.

В зависимост от резолирания IP адрес веригата на атаката води до разгръщане на уеб обвивка, която поддържа възможност за качване и изтегляне на произволни файлове, както и за изпълнение на команди.

Забелязан е и втори вариант на BellaCiao, който замества уеб обвивката с инструмент Plink – помощна програма за команден ред за PuTTY – който е предназначен за установяване на обратна прокси връзка с отдалечен сървър и реализира подобни функции на задната врата.

„Най-добрата защита срещу съвременните атаки включва прилагането на архитектура „защита в дълбочина“ – заключава Зугек. „Първата стъпка в този процес е да се намали повърхността на атаката, което включва ограничаване на броя на входните точки, които нападателите могат да използват, за да получат достъп до вашите системи, и своевременно поправяне на новооткрити уязвимости.“

Източник: The Hacker News

Подобни публикации

1 юни 2023

Подробности за Migraine - уязвимост на Apple macOS

Microsoft сподели подробности за вече поправен недостатък в Apple m...

Лов на заплахи в шест стъпки

Откриването на  заплахите, преди те да са ви открили, е от ключово ...
31 май 2023

Уязвимостта в Barracuda е използвана минимум 7 ...

Фирмата за корпоративна сигурност Barracuda разкри във вторник, че ...

Как да избегнете прегарянето в екипа си по кибе...

Въпреки че кибератаките се увеличават през последните години, една ...
30 май 2023

Бели хакери спечелиха 105 000 долара от Sonos One

Няколко недостатъка в сигурността, открити в безжичните високоговор...

Идва ли Windows 12?

Голямата актуализация на Windows 11 за края на тази година, известн...
Бъдете социални
Още по темата
31/05/2023

Уязвимостта в Barracuda е и...

Фирмата за корпоративна сигурност Barracuda разкри...
30/05/2023

CosmicEnergy е способен да ...

Руски софтуер, който може да изключва...
27/05/2023

DarkFrost унищожава гейминг...

Наблюдава се нов ботнет, наречен Dark...
Последно добавени
01/06/2023

Подробности за Migraine - у...

Microsoft сподели подробности за вече поправен...
01/06/2023

Лов на заплахи в шест стъпки

Откриването на  заплахите, преди те да...
31/05/2023

Уязвимостта в Barracuda е и...

Фирмата за корпоративна сигурност Barracuda разкри...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!