top of page
Buscar

Grupo hacker iraniano Charming Kitten lança BellaCPP, uma nova variante em C++ do malware BellaCiao

  • Foto do escritor: Cyber Security Brazil
    Cyber Security Brazil
  • 25 de dez. de 2024
  • 2 min de leitura

O grupo de hackers iraniano, conhecido como Charming Kitten, foi observado utilizando uma variante em C++ de um malware conhecido como BellaCiao.


A empresa russa de cibersegurança Kaspersky, que nomeou a nova versão como BellaCPP, descobriu o artefato durante uma investigação recente em uma máquina comprometida na Ásia, que também estava infectada com o malware BellaCiao.


O BellaCiao foi documentado pela primeira vez pela empresa romena de cibersegurança Bitdefender em abril de 2023, sendo descrito como um "dropper" personalizado capaz de entregar cargas adicionais. O malware tem sido utilizado pelo grupo em ataques cibernéticos contra os Estados Unidos, Oriente Médio e Índia.


Ele é apenas uma das várias famílias de malware desenvolvidas ao longo dos anos pelo Charming Kitten, grupo vinculado à Guarda Revolucionária Islâmica do Irã (IRGC). Esse grupo avançado de ameaças persistentes (APT) também é conhecido pelos codinomes APT35, CALANQUE, CharmingCypress, ITG18, Mint Sandstorm (anteriormente Phosphorus), Newscaster, TA453 e Yellow Garuda.


Embora o grupo tenha um histórico de campanhas de engenharia social sofisticadas para ganhar a confiança das vítimas e instalar malwares, os ataques envolvendo BellaCiao têm explorado falhas de segurança conhecidas em aplicativos publicamente acessíveis, como Microsoft Exchange Server e Zoho ManageEngine.


"BellaCiao é uma família de malware baseada em .NET que adiciona um elemento único à invasão, combinando a persistência furtiva de um web shell com a capacidade de estabelecer túneis encobertos", explicou o pesquisador da Kaspersky, Mert Degirmenci.


A variante em C++ do BellaCiao é um arquivo DLL chamado "adhapl.dll", que implementa funcionalidades similares ao seu antecessor, incluindo código para carregar outra DLL desconhecida ("D3D12_1core.dll"), provavelmente usada para criar um túnel SSH.


A característica única do BellaCPP é a ausência de um web shell, utilizado no BellaCiao para carregar e baixar arquivos arbitrários, além de executar comandos.

"Em uma perspectiva geral, esta é uma representação em C++ das amostras do BellaCiao, mas sem a funcionalidade de web shell", acrescentou Degirmenci, observando que o BellaCPP "utiliza domínios anteriormente atribuídos ao grupo."


Via - THN

 
 
 

コメント

Parceiros

Cupom 20% de desconto - CYBERSECBRA20 

bottom of page