Il gruppo iraniano di hacker noto come Charming Kitten è stato recentemente osservato mentre distribuiva una variante in C++ di un malware già noto chiamato BellaCiao. Questa nuova versione, denominata BellaCPP, è stata scoperta dall'azienda di sicurezza informatica russa Kaspersky durante un'indagine su un sistema compromesso in Asia, che era stato infettato anche con il malware BellaCiao.
Affiliazione e metodi di attacco
Charming Kitten è affiliato con il Corpo delle Guardie della Rivoluzione Islamica dell'Iran e nel tempo ha sviluppato diverse famiglie di malware su misura. Questo gruppo, noto anche con vari nomi come APT35, CALANQUE, e Mint Sandstorm, ha una storia di orchestrazione di campagne di ingegneria sociale per ottenere la fiducia delle vittime e distribuire malware. Gli attacchi che coinvolgono BellaCiao sono stati trovati a sfruttare vulnerabilità di sicurezza note in applicazioni pubblicamente accessibili come Microsoft Exchange Server o Zoho ManageEngine.
Caratteristiche del malware BellaCiao e BellaCPP
BellaCiao è un malware basato su .NET che combina la persistenza discreta di una web shell con la capacità di stabilire un tunnel nascosto. La variante in C++ di BellaCiao, un file DLL chiamato "adhapl.dll", implementa funzionalità simili a quelle del suo predecessore, includendo codice per caricare un altro DLL sconosciuto ("D3D12_1core.dll"), probabilmente utilizzato per creare un tunnel SSH. Tuttavia, una caratteristica unica di BellaCPP è l'assenza di una web shell, utilizzata in BellaCiao per caricare e scaricare file arbitrari e per eseguire comandi. Questa rappresentazione in C++ delle funzionalità di BellaCiao, senza la funzionalità di web shell, utilizza domini precedentemente attribuiti all'attore Charming Kitten.