警惕！伊朗关联APT组织Charming Kitten使用新型BellaCiao变种BellaCPP

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【...】,然后点击【设为星标】即可。

卡巴斯基研究人员发出警告，已观察到与伊朗有关联的高级持续威胁（APT）组织Charming Kitten正在使用一款名为BellaCPP的新型恶意软件，它是BellaCiao恶意软件的C++版本。

研究发现，与伊朗有关联的APT组织Charming Kitten使用了BellaCiao恶意软件的C++变体，命名为BellaCPP。

BellaCiao是一种基于.NET的恶意软件，它将网页后门持久化与隐蔽隧道技术相结合。2023年4月，比特梵德首次发现了这种恶意代码，其程序数据库（PDB）路径揭示了包括版本方案在内的重要信息。

最近，卡巴斯基在亚洲的一台计算机上发现了一个BellaCiao恶意软件样本，以及一个用C++重新编写的较旧版本BellaCiao。

BellaCiao的PDB路径揭示了该攻击活动的关键细节，包括目标实体和国家。所有路径都包含“MicrosoftAgentServices”，有时还带有版本编号（例如“MicrosoftAgentServices2”），开发人员可能用其来跟踪更新，并为APT行动维护不断演变的恶意软件库。

卡巴斯基发布的报告中提到：“BellaCPP是在感染了基于.NET的BellaCiao恶意软件的同一台机器上被发现的。它是一个名为‘adhapl.dll’的动态链接库（DLL）文件，用C++开发，位于C:WindowsSystem32目录下。它有一个名为‘ServiceMain’的导出函数。这个名称和控制处理程序注册表明，与原始的BellaCiao样本类似，这个变体旨在作为Windows服务运行。”

基于.NET的BellaCiao恶意软件表现出与早期版本相似的行为，包括：

1. 使用异或加密解密DLL路径和函数（“SecurityUpdate”和“CheckDNSRecords”）的字符串。

2. 加载DLL并解析函数地址。

3. 生成格式为<5个随机字母><目标标识符>.<国家代码>.systemupdate[.]info的域名。

4. 根据硬编码地址验证域名的IP，并使用特定参数调用“SecurityUpdate”函数。

尽管存在相似之处，但差异包括域名生成模式以及.NET版本中的SSH隧道工作流程。由于关键的DLL（D3D12_1core.dll）不可用，对其的分析仍未完成。

报告继续指出：“根据传入的参数和已知的BellaCiao功能，我们有中等把握判断缺失的DLL会创建一个SSH隧道。然而，与我们在旧版本BellaCiao样本中观察到的PowerShell网页后门不同，BellaCPP样本没有硬编码的网页后门。”

BellaCPP很可能与Charming Kitten威胁行为者有关联，因为它以C++形式模仿BellaCiao样本但没有网页后门功能，使用与该行为者相关的域名，采用类似的域名生成方法，并且是在与较旧的BellaCiao样本相同的系统上被发现的。

报告总结道：“Charming Kitten一直在扩充其恶意软件家族库，同时利用公开可用的工具。BellaCPP样本的发现凸显了对网络及其内部机器进行全面调查的重要性。攻击者可以部署安全解决方案可能无法检测到的未知样本，从而在‘已知’样本被清除后仍能在网络中保留立足点。”

推荐阅读：知识星球连载创作"全球高级持续威胁：网络世界的隐形战争"，总共26章，相信能够为你带来不一样的世界认知，欢迎感兴趣的朋友入圈沟通交流。

免费知识星球，不定期提供网上资源，也作为与粉丝的沟通桥梁。

喜欢文章的朋友动动发财手点赞、转发、赞赏，你的每一次认可，都是我继续前进的动力。

原文始发于微信公众号（紫队安全研究）：警惕！伊朗关联APT组织Charming Kitten使用新型BellaCiao变种BellaCPP