POWERSTAR Backdoor
The Charming Kitten, спонсорирана от държавата група, свързана с Иранския корпус на гвардейците на ислямската революция (IRGC), е идентифицирана като извършител зад друга целенасочена кампания за фишинг. Тази кампания включва разпространението на актуализиран вариант на всеобхватна задна врата на PowerShell, известна като POWERSTAR.
Тази най-нова версия на POWERSTAR е подобрена с подобрени оперативни мерки за сигурност, което прави значително по-голямо предизвикателство за анализаторите по сигурността и разузнавателните агенции да анализират и събират информация за злонамерения софтуер. Тези мерки за сигурност са предназначени да осуетят откриването и да възпрепятстват усилията за разбиране на вътрешната работа на задната врата.
Съдържание
Очарователното коте Киберпрестъпниците разчитат в голяма степен на тактики за социално инженерство
Актьорите на заплахата Charming Kitten , известни също под различни други имена като APT35, Cobalt Illusion, Mint Sandstorm (бивш Phosphorus) и Yellow Garuda, демонстрираха опит в използването на техники за социално инженерство, за да измамят своите цели. Те използват сложни тактики, включително създаване на персонализирани фалшиви персони в социалните медийни платформи и участие в продължителни разговори за установяване на доверие и разбирателство. След като се установи връзка, те стратегически изпращат злонамерени връзки към своите жертви.
В допълнение към уменията си за социално инженерство, Очарователното коте разшири своя арсенал от техники за проникване. Скорошните атаки, оркестрирани от групата, включват внедряването на други импланти, като PowerLess и BellaCiao. Това показва, че заплахата притежава разнообразна гама от инструменти за шпионаж, като ги използва стратегически за постигане на своите стратегически цели. Тази гъвкавост позволява на Очарователното коте да адаптира своите тактики и техники според специфичните обстоятелства на всяка операция.
Векторите на инфекция на задната вратичка на POWERSTAR се развиват
В кампанията за атака през май 2023 г. Очарователното коте използва хитра стратегия за повишаване на ефективността на злонамерения софтуер POWERSTAR. За да намалят риска от излагане на техния лош код на анализ и откриване, те внедриха процес в две стъпки. Първоначално се използва защитен с парола RAR файл, съдържащ LNK файл, за да започне изтеглянето на задната врата от Backblaze. Този подход послужи за замъгляване на техните намерения и възпрепятстване на усилията за анализ.
Според изследователите Чаровното коте умишлено е отделило метода за декриптиране от първоначалния код и е избягвало записването му на диск. По този начин те добавиха допълнителен слой на оперативна сигурност. Отделянето на метода за декриптиране от сървъра за командване и управление (C2) служи като предпазна мярка срещу бъдещи опити за дешифриране на съответния полезен товар POWERSTAR. Тази тактика ефективно предотвратява достъпа на противниците до пълната функционалност на зловреден софтуер и ограничава потенциала за успешно дешифриране извън контрола на Charming Kitten.
POWERSTAR носи широка гама от заплашителни функции
Задната вратичка POWERSTAR може да се похвали с широк набор от възможности, които му позволяват да извършва отдалечено изпълнение на PowerShell и C# команди. Освен това, той улеснява установяването на постоянство, събира жизненоважна системна информация и позволява изтеглянето и изпълнението на допълнителни модули. Тези модули служат за различни цели, като изброяване на изпълнявани процеси, заснемане на екранни снимки, търсене на файлове със специфични разширения и наблюдение на целостта на компонентите за устойчивост.
Освен това модулът за почистване е претърпял значителни подобрения и разширения в сравнение с предишните версии. Този модул е специално проектиран да елиминира всички следи от присъствието на зловреден софтуер и да изкорени ключовете в регистъра, свързани с постоянството. Тези подобрения демонстрират постоянния ангажимент на Charming Kitten да усъвършенства своите техники и да избегне откриването.
Изследователите също са наблюдавали различен вариант на POWERSTAR, който използва различен подход за извличане на твърдо кодиран C2 сървър. Този вариант постига това чрез декодиране на файл, съхраняван в децентрализираната междупланетна файлова система (IPFS). Използвайки този метод, Charming Kitten има за цел да подобри устойчивостта на своята инфраструктура за атаки и да подобри способността си да избягва мерките за откриване и смекчаване.
