Charming Kitten 小组正在窃取政治专家的秘密：假网络研讨会实为真骗局。

中东地区遭受伊朗黑客组织 Charming Kitten（也称为 APT35 CharmingCypress 和 Mint Sandstorm）组织的新一波网络攻击。黑客正在使用一种名为 BASICSTAR 的新恶意后门来攻击政治专家。

该组织创建了一个虚假的网络研讨会门户，声称来自拉桑国际伊朗研究所。这使得建立联系并获得受害者的信任成为可能。目标专业人士开始收到有关他们感兴趣的主题的在线会议的电子邮件邀请。

这些电子邮件附有恶意附件，打开后会在计算机上安装 BASICSTAR 和其他程序。带有 LNK 文件的 RAR 存档被用来分发后门。

本质上，BASICSTAR 是一个恶意的 Visual Basic Script 脚本。它能够收集基本系统信息、远程执行攻击者命令以及下载文件。安装后，系统会向受害者显示一个伪造的 PDF，以免引起怀疑。

黑客使用 BASICSTAR 作为他们的主要工具。此外，根据目标操作系统，他们还使用了其他恶意软件：用于 Windows 的 POWERLESS 和用于 MacOS 的 NokNok。

专家指出，魅力小猫最近非常活跃，并且正在不断改进其攻击方式。该组织仔细研究受害者，以选择最有效的策略。

Volexity 研究人员 指出 ：“CharmingCypress 组织经常使用不寻常的社会工程策略，例如在发送包含恶意内容的链接之前让受害者进行冗长的电子邮件对话。”

据信“迷人小猫”隶属于伊斯兰革命卫队，并代表其进行网络行动。过去，他们曾发起针对该地区智库、非政府组织和记者的运动。

在最近的攻击中，攻击者使用了受害者认识的人的被黑帐户。还创建了几个假邮箱。有些人确信他们收到了朋友或同事的来信。专家将这种策略称为“多重角色模拟”(MPI)。

此外，Charming Kitten 集团还在伊朗注册了许多假冒的、看似合法的 IT 公司。他们正在开发网络间谍和跟踪工具，同时隐藏与政府机构的直接联系。

文章原文链接:https://www.anquanke.com/post/id/293325