Compania rusă de securitate cibernetică Kaspersky, care a denumit noua versiune BellaCPP, a declarat că a descoperit artefactul ca parte a unei investigații „recente” privind o mașină compromisă din Asia care a fost, de asemenea, infectată cu malware-ul BellaCiao.

BellaCiao a fost documentat pentru prima dată de firma românească de securitate cibernetică Bitdefender în aprilie 2023, descriindu-l ca un dropper personalizat capabil să livreze sarcini utile suplimentare. Malware-ul a fost utilizat de grupul de hackeri în atacuri cibernetice care au vizat Statele Unite, Orientul Mijlociu și India.

Este, de asemenea, una dintre numeroasele familii de malware personalizate pe care actorul Charming Kitten le-a dezvoltat de-a lungul anilor. Afiliat la Corpul Gardienilor Revoluției Islamice din Iran (IRGC), grupul de amenințări persistente avansate (APT) este cunoscut și sub denumirile APT35, CALANQUE, Charming Kitten, CharmingCypress, ITG18, Mint Sandstorm (fost Phosphorus), Newscaster, TA453 și Yellow Garuda.

În timp ce grupul are o istorie de orchestrare a creării de campanii inteligente de inginerie socială pentru a câștiga încrederea țintelor și a livra malware, s-a constatat că atacurile care implică BellaCiao folosesc defecte de securitate cunoscute în aplicații accesibile publicului precum Microsoft Exchange Server sau Zoho ManageEngine.

„BellaCiao este o familie de malware bazată pe .NET care adaugă o întorsătură unică unei intruziuni, combinând persistența stealthy a unui web shell cu puterea de a stabili un tunel secret”, a declarat Mert Degirmenci, cercetător Kaspersky.

Varianta C++ a BellaCiao este un fișier DLL numit „adhapl.dll” care implementează caracteristici similare cu cele ale strămoșului său, conținând cod pentru a încărca un alt DLL necunoscut („D3D12_1core.dll”) care este probabil folosit pentru a crea un tunel SSH.

Cu toate acestea, BellaCPP este unic prin lipsa unui web shell care este utilizat în BellaCiao pentru a încărca și descărca fișiere arbitrare, precum și pentru a executa comenzi.

„Dintr-o perspectivă de nivel înalt, aceasta este o reprezentare C++ a mostrelor BellaCiao fără funcționalitatea web shell”, a declarat Degirmenci, adăugând că BellaCPP «utilizează domenii atribuite anterior actorului».

Sursa: thehackernews.com