Търсене
Close this search box.

Нова версия на BellaCiao в мултидържавни атаки

Силно активната  иранска национална група, известна като Charming Kitten, се е насочила към множество жертви в САЩ, Европа, Близкия изток и Индия с нов зловреден софтуер, наречен BellaCiao, с което е допълнила постоянно разширяващия се списък с персонализирани инструменти.

Открит от Bitdefender Labs, BellaCiao е „персонализиран дропър“, който може да доставя други зловредни товари на машината на жертвата въз основа на команди, получени от контролиран  сървър.

„Всяка събрана извадка беше свързана с конкретна жертва и включваше твърдо кодирана информация като име на компания, специално създадени поддомейни или свързан публичен IP адрес“, заяви румънската фирма за киберсигурност в доклад, споделен с The Hacker News.

Charming Kitten, известна още като APT35, Cobalt Illusion, Educated Manticore, ITG18, Mint Sandstorm (née Phosphorus), TA453 и Yellow Garuda, е иранска държавно спонсорирана APT група, свързана с Корпуса на гвардейците на Ислямската революция (КГИР).

През годините групата е използвала различни средства за внедряване на задни врати в системи, принадлежащи на широк кръг индустриални вертикали.

Разработката идва, след като Microsoft приписа на тази група ответни атаки, насочени към обекти от критичната инфраструктура в САЩ в периода от края на 2021 г. до средата на 2022 г., като използва специално разработен зловреден софтуер като harmPower, Drokbk и Soldier.

След това по-рано тази седмица Check Point разкри, че Mint Sandstorm използва актуализирана версия на импланта PowerLess за нанасяне на удари по организации, разположени в Израел, като използва фишинг примамки на тема Ирак.

„Специално разработеният зловреден софтуер, известен още като „адаптиран“ зловреден софтуер, обикновено е по-труден за откриване, тъй като е специално създаден, за да избегне откриване, и съдържа уникален код“, отбеляза Мартин Зугек, изследовател от Bitdefender.

Точният начин на действие, използван за постигане на първоначалното проникване, засега не е установен, въпреки че се предполага, че е свързан с използването на известни уязвимости в приложения, изложени на въздействието на интернет, като Microsoft Exchange Server или Zoho ManageEngine.

Успешното проникване е последвано от опит на заплахата да деактивира Microsoft Defender с помощта на PowerShell команда и да установи постоянство на хоста чрез инстанция на услугата.

Bitdefender заяви, че също така е забелязал Charming Kitten да изтегля два модула на Internet Information Services (IIS), способни да обработват входящи инструкции и да ексфилтрират идентификационни данни.

От своя страна BellaCiao се отличава и с това, че на всеки 24 часа извършва DNS заявка за разрешаване на поддомейн към IP адрес, който впоследствие се анализира, за да се извлекат командите, които трябва да бъдат изпълнени на компрометираната система.

„Резолираният IP адрес е като истинския публичен IP адрес, но с леки модификации, които позволяват на BellaCiao да получи допълнителни инструкции“, обяснява Зугек.

В зависимост от резолирания IP адрес веригата на атаката води до разгръщане на уеб обвивка, която поддържа възможност за качване и изтегляне на произволни файлове, както и за изпълнение на команди.

Забелязан е и втори вариант на BellaCiao, който замества уеб обвивката с инструмент Plink – помощна програма за команден ред за PuTTY – който е предназначен за установяване на обратна прокси връзка с отдалечен сървър и реализира подобни функции на задната врата.

„Най-добрата защита срещу съвременните атаки включва прилагането на архитектура „защита в дълбочина“ – заключава Зугек. „Първата стъпка в този процес е да се намали повърхността на атаката, което включва ограничаване на броя на входните точки, които нападателите могат да използват, за да получат достъп до вашите системи, и своевременно поправяне на новооткрити уязвимости.“

Източник: The Hacker News

Подобни публикации

10 септември 2024

Двама са обвинени в САЩ за организиране на паза...

САЩ повдигнаха обвинения на гражданин на Казахстан и гражданин на Р...
9 септември 2024

Шпионският софтуер Predator се появяви отново с...

Шпионският софтуер Predator се е появил отново с нова инфраструктур...
9 септември 2024

Един милион клиенти на Kaspersky в САЩ са прехв...

Клиентите на Kaspersky в Съединените щати са уведомени, че абонамен...
9 септември 2024

CISA сигнализира за грешки в ICS в продуктите н...

Миналата седмица американската Агенция за киберсигурност и инфрастр...
9 септември 2024

Progress LoadMaster е уязвим към недостатък на ...

Progress Software издаде спешна поправка за уязвимост с максимална ...
9 септември 2024

Секс измамите вече използват името на „изневеря...

Нов вариант на продължаващите измами с електронни писма с цел сексу...
Бъдете социални
Още по темата
09/09/2024

Новата атака RAMBO краде да...

Нова атака по страничен канал, наречена...
09/09/2024

Гигантът Avis разкрива нару...

Американският гигант за отдаване на автомобили...
05/09/2024

Halliburton потвърждава за ...

Във вторник американският гигант в областта...
Последно добавени
10/09/2024

Двама са обвинени в САЩ за ...

САЩ повдигнаха обвинения на гражданин на...
09/09/2024

Шпионският софтуер Predator...

Шпионският софтуер Predator се е появил...
09/09/2024

Един милион клиенти на Kasp...

Клиентите на Kaspersky в Съединените щати...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!