Charming Kitten: Svelata la Nuova Minaccia BellaCPP che Scuote la Sicurezza Globale!
- News
- Visite: 83
Il gruppo iraniano di hacker noto come Charming Kitten è stato recentemente osservato mentre distribuiva una variante in C++ di un malware già noto chiamato BellaCiao. Questa nuova versione, denominata BellaCPP, è stata scoperta dall'azienda di sicurezza informatica russa Kaspersky durante un'indagine su un sistema compromesso in Asia, che era stato infettato anche con il malware BellaCiao. BellaCiao, documentato per la prima volta dall'azienda di sicurezza informatica rumena Bitdefender nell'aprile 2023, è un dropper personalizzato capace di distribuire ulteriori payload. Questo malware è stato utilizzato dal gruppo di hacker in attacchi informatici che hanno preso di mira gli Stati Uniti, il Medio Oriente e l'India.
Affiliazione e metodi di attacco
Charming Kitten è affiliato con il Corpo delle Guardie della Rivoluzione Islamica dell'Iran e nel tempo ha sviluppato diverse famiglie di malware su misura. Questo gruppo, noto anche con vari nomi come APT35, CALANQUE, e Mint Sandstorm, ha una storia di orchestrazione di campagne di ingegneria sociale per ottenere la fiducia delle vittime e distribuire malware. Gli attacchi che coinvolgono BellaCiao sono stati trovati a sfruttare vulnerabilità di sicurezza note in applicazioni pubblicamente accessibili come Microsoft Exchange Server o Zoho ManageEngine.
Caratteristiche del malware BellaCiao e BellaCPP
BellaCiao è un malware basato su .NET che combina la persistenza discreta di una web shell con la capacità di stabilire un tunnel nascosto. La variante in C++ di BellaCiao, un file DLL chiamato "adhapl.dll", implementa funzionalità simili a quelle del suo predecessore, includendo codice per caricare un altro DLL sconosciuto ("D3D12_1core.dll"), probabilmente utilizzato per creare un tunnel SSH. Tuttavia, una caratteristica unica di BellaCPP è l'assenza di una web shell, utilizzata in BellaCiao per caricare e scaricare file arbitrari e per eseguire comandi. Questa rappresentazione in C++ delle funzionalità di BellaCiao, senza la funzionalità di web shell, utilizza domini precedentemente attribuiti all'attore Charming Kitten.