Η ιρανική ομάδα hacking Charming Kitten στοχεύει ενεργά πολλαπλά θύματα στις ΗΠΑ, την Ευρώπη, τη Μέση Ανατολή και την Ινδία με ένα νέο κακόβουλο λογισμικό που ονομάζεται BellaCiao, προσθέτοντάς το στην αυξανόμενη λίστα των προσαρμοσμένων εργαλείων της.
Το BellaCiao, που ανακαλύφθηκε από την Bitdefender Labs, είναι ένας “εξατομικευμένος dropper“ που μπορεί να παραδώσει άλλα ωφέλιμα φορτία κακόβουλου λογισμικού σε μηχανήματα βάσει εντολών που λαμβάνονται από έναν διακομιστή που ελέγχεται από τον επιτιθέμενο.
Το Charming Kitten, επίσης γνωστό ως APT35, Cobalt Illusion, Educated Manticore, ITG18, Mint Sandstorm (πρώην Phosphorus), TA453 και Yellow Garuda, είναι ένα ωφέλιμο φορτίο κακόβουλου λογισμικού που έχει χρησιμοποιηθεί από το Σώμα Φρουρών της Ισλαμικής Επανάστασης ( ιρανική κρατική ομάδα APT που συνδέεται με το IRGC.
Η ομάδα εισάγει backdoors σε συστήματα που ανήκουν σε ένα ευρύ φάσμα βιομηχανιών εδώ και πολλά χρόνια, χρησιμοποιώντας διάφορα μέσα.
Αυτή η τελευταία εξέλιξη έρχεται καθώς η Microsoft εκτιμά ότι οι εν λόγω hackers έχουν πραγματοποιήσει ανταποδοτικές επιθέσεις με στόχο οντότητες κρίσιμων υποδομών στις ΗΠΑ μεταξύ του 2020 και του 2022, χρησιμοποιώντας ειδικά διαμορφωμένο κακόβουλο λογισμικό, όπως τα CharmPower, Drokbk και Soldier Check Point.
Νωρίτερα αυτή την εβδομάδα, η Check Point αποκάλυψε ότι το Mint Sandstorm χρησιμοποίησε μια ενημερωμένη έκδοση του εμφυτεύματος PowerLess για να στοχεύσει οργανισμούς στο Ισραήλ με ένα δέλεαρ phishing με θέμα το Ιράκ.
Ο ακριβής τρόπος δράσης που χρησιμοποιήθηκε στην αρχική εισβολή δεν είναι προς το παρόν γνωστός, αλλά εικάζεται ότι εκμεταλλεύτηκε γνωστές ευπάθειες σε εφαρμογές που δημοσιεύονται στο διαδίκτυο, όπως ο Microsoft Exchange Server και το Zoho ManageEngine.
Μετά την επιτυχή εισβολή, ο δράστης της απειλής επιχειρεί να απενεργοποιήσει το Microsoft Defender χρησιμοποιώντας εντολές PowerShell και να εγκαθιδρύσει επιμονή στον κεντρικό υπολογιστή μέσω ενός service instance.
Η Bitdefender δήλωσε ότι παρατήρησε επίσης ότι το Charming Kitten είχε κατεβάσει δύο μονάδες Internet Information Services (IIS), οι οποίες θα μπορούσαν να επεξεργαστούν τις εισερχόμενες εντολές και να κλέψουν πληροφορίες ελέγχου ταυτότητας.