%20-%20Large.png)
En iransk hackergruppe kendt som Charming Kitten, også kaldet APT35, Cobalt Illusion, Educated Manticore, ITG18, Mint Sandstorm (tidligere kendt som Phosphorus), TA453 og Yellow Garuda. Man mener at denne hackergruppe er direkte støttet af den iranske stat.
De retter sig aktivt mod forskellige ofre i USA, Europa, Mellemøsten og Indien med en nyopdaget malware ved navn BellaCiao. Bitdefender Labs opdagede BellaCiao, som er en "personalized dropper", der er i stand til at levere andre malware filer til en udvalgt maskine baseret på kommandoer modtaget fra en hackerstyret server. Malwaren indeholder specifik hårdkodet information såsom firmanavn, specielt udformede underdomæner eller tilknyttede offentlige IP-adresser, som hver især er knyttet til et bestemt offer. Charming Kitten er en statssponsoreret APT-gruppe, der er forbundet med Islamic Revolutionary Guard Corps (IRGC), og den har brugt forskellige midler til at installere bagdøre i systemer, der tilhører en lang række industrivertikaler.
BellaCiao er en tilføjelse til Charming Kittens stadigt voksende liste over brugerdefinerede værktøjer. Skræddersyet udviklet malware er typisk mere udfordrende at opdage, da den er specielt udformet til at undgå registrering og indeholder unik kode, ifølge Bitdefender-forsker Martin Zugec. Den nøjagtige modus operandi, som Charming Kitten bruger til at opnå indledende indtrængen, er i øjeblikket ukendt, men det er mistænkt for at indebære udnyttelse af kendte sårbarheder i internet-eksponerede applikationer såsom Microsoft Exchange Server eller Zoho ManageEngine. Et vellykket brud efterfølges af trusselsaktøren, der forsøger at deaktivere Microsoft Defender ved hjælp af en PowerShell-kommando og etablerer persistens på værten via en tjenesteinstans.
Bitdefender observerede også, at Charming Kitten downloadede to Internet Information Services (IIS)-moduler, der var i stand til at behandle indgående instruktioner og udslette legitimationsoplysninger. BellaCiao på sin side udfører en DNS-anmodning hver 24. time for at løse et underdomæne til en IP-adresse, der efterfølgende parses for at udtrække de kommandoer, der skal udføres på det kompromitterede system. Den kommunikerer "med en angriberstyret DNS-server, der sender ondsindede hårdkodede instruktioner via en løst IP-adresse, der efterligner målets rigtige IP-adresse. Resultatet er yderligere malware, der droppes via hårdkodede instruktioner i stedet for traditionel download." Afhængigt af den løste IP-adresse fører angrebskæden til implementeringen af en web-shell, der understøtter muligheden for at uploade og downloade vilkårlige filer samt køre kommandoer.
Der er også en anden variant af BellaCiao, der erstatter web-skallen med et Plink-værktøj, et kommandolinjeværktøj til PuTTY, som er designet til at etablere en omvendt proxyforbindelse til en fjernserver og implementere lignende bagdørsfunktioner. Kampagnen har rettet sig mod både mange forskellige brancher og forskellige virksomhedsstørrelser. BellaCiao er specielt tilpasset hvert angreb og bliver brugt mod nøje udvalgte ofre af interesse efter vilkårlig udnyttelse af sårbare systemer. "Denne type angreb er særligt effektiv mod systemer, der ikke er velholdte, har forældet software eller sikkerhedsrettelser, har svage adgangskoder - eller i mange tilfælde mindre virksomheder, der ikke har detektions- og svarmuligheder," sagde Zugec til The Hacker News.