Charming Kitten olarak bilinen İran ulus-devlet hack grubunun, BellaCiao adı verilen bilinen bir kötü amaçlı yazılımın C++ versiyonunu dağıttığı gözlemlendi.
Yeni sürümün adını veren Rus siber güvenlik şirketi Kaspersky BellaCPPAsya’da BellaCiao kötü amaçlı yazılımının da bulaştığı, güvenliği ihlal edilmiş bir makineye yönelik “yakın zamanda” yapılan bir soruşturmanın parçası olarak eseri keşfettiğini söyledi.
BellaCiao, ilk kez Nisan 2023’te Rumen siber güvenlik firması Bitdefender tarafından belgelendi ve onu ek yük taşıma kapasitesine sahip özel bir damlalık olarak tanımladı. Kötü amaçlı yazılım, bilgisayar korsanlığı grubu tarafından Amerika Birleşik Devletleri, Orta Doğu ve Hindistan’ı hedef alan siber saldırılarda kullanıldı.
Bu aynı zamanda Charming Kitten aktörünün yıllar içinde geliştirdiği çok sayıda özel kötü amaçlı yazılım ailesinden biridir. İran İslam Devrim Muhafızları Birliği’ne (IRGC) bağlı olan gelişmiş kalıcı tehdit (APT) grubu aynı zamanda APT35, CALANQUE, Charming Kitten, CharmingCypress, ITG18, Mint Sandstorm (eski adıyla Phosphorus), Newscaster, TA453 ve Yellow Garuda takma adlarıyla da biliniyor. .
Grubun, hedeflerin güvenini kazanmak ve kötü amaçlı yazılım yaymak için akıllı sosyal mühendislik kampanyaları oluşturma konusunda bir geçmişi olmasına rağmen, BellaCiao’nun dahil olduğu saldırıların, Microsoft Exchange Server veya Zoho ManageEngine gibi herkesin erişebildiği uygulamalardaki bilinen güvenlik kusurlarını silah olarak kullandığı görüldü.
Kaspersky araştırmacısı Mert Değirmenci, “BellaCiao, bir web kabuğunun gizli kalıcılığını gizli tünel kurma gücüyle birleştirerek izinsiz girişe benzersiz bir yön katan .NET tabanlı bir kötü amaçlı yazılım ailesidir.” söz konusu.
BellaCiao’nun C++ çeşidi, atasınınkine benzer özellikleri uygulayan ve muhtemelen bir SSH tüneli oluşturmak için kullanılan başka bir bilinmeyen DLL’yi (“D3D12_1core.dll”) yüklemek için kod içeren “adhapl.dll” adlı bir DLL dosyasıdır.
Ancak BellaCPP’ye özgü olan şey, BellaCiao’da isteğe bağlı dosyaları yüklemek ve indirmek ve komutları çalıştırmak için kullanılan bir web kabuğunun bulunmamasıdır.
Değirmenci, “Üst düzey bir perspektiften bakıldığında bu, BellaCiao örneklerinin web kabuğu işlevselliği olmayan bir C++ temsilidir” dedi ve BellaCPP’nin “daha önce aktöre atfedilen alanları kullandığını” ekledi.
