Porta posterior POWERSTAR
The Charming Kitten, un grup patrocinat per l'estat vinculat al Cos de la Guàrdia Revolucionària Islàmica (IRGC) de l'Iran, ha estat identificat com l'autor d'una altra campanya de pesca amb llança dirigida. Aquesta campanya implica la distribució d'una variant actualitzada d'una porta posterior completa de PowerShell coneguda com POWERSTAR.
Aquesta darrera versió de POWERSTAR s'ha millorat amb mesures de seguretat operatives millorades, cosa que fa que sigui molt més difícil per als analistes de seguretat i les agències d'intel·ligència analitzar i recopilar informació sobre el programari maliciós. Aquestes mesures de seguretat estan dissenyades per impedir la detecció i dificultar els esforços per comprendre el funcionament intern de la porta del darrere.
Taula de continguts
Els cibercriminals encantadors de gatets depenen molt de les tàctiques d’enginyeria social
Els actors de l'amenaça de Charming Kitten , també coneguts per altres noms com APT35, Cobalt Illusion, Mint Sandstorm (abans Phosphorus) i Yellow Garuda, han demostrat experiència en l'aprofitament de tècniques d'enginyeria social per enganyar els seus objectius. Utilitzen tàctiques sofisticades, com ara la creació de personalitats falses a les plataformes de xarxes socials i la participació en converses prolongades per establir confiança i relació. Un cop establerta una relació, envien estratègicament enllaços maliciosos a les seves víctimes.
A més de les seves habilitats en enginyeria social, el gatet encantador ha ampliat el seu arsenal de tècniques d'intrusió. Els recents atacs orquestrats pel grup han implicat el desplegament d'altres implants, com PowerLess i BellaCiao. Això indica que l'actor de l'amenaça té una àmplia gamma d'eines d'espionatge, utilitzant-les estratègicament per assolir els seus objectius estratègics. Aquesta versatilitat permet al gatet encantador adaptar les seves tàctiques i tècniques segons les circumstàncies específiques de cada operació.
Els vectors d’infecció de la porta posterior POWERSTAR estan evolucionant
A la campanya d'atac de maig de 2023, el gatet encantador va utilitzar una estratègia intel·ligent per millorar l'eficàcia del programari maliciós POWERSTAR. Per mitigar el risc d'exposar el seu codi dolent a l'anàlisi i la detecció, van implementar un procés de dos passos. Inicialment, s'utilitza un fitxer RAR protegit amb contrasenya que conté un fitxer LNK per iniciar la descàrrega de la porta posterior des de Backblaze. Aquest enfocament va servir per ofuscar les seves intencions i impedir els esforços d'anàlisi.
Segons els investigadors, el gatet encantador va separar intencionadament el mètode de desxifrat del codi inicial i va evitar escriure'l al disc. En fer-ho, van afegir una capa addicional de seguretat operativa. El desacoblament del mètode de desxifrat del servidor de comandament i control (C2) serveix com a salvaguarda contra futurs intents de desxifrar la càrrega útil POWERSTAR corresponent. Aquesta tàctica impedeix de manera efectiva que els adversaris accedeixin a la funcionalitat completa del programari maliciós i limita el potencial d'èxit del desxifrat fora del control de Charming Kitten.
POWERSTAR té una àmplia gamma de funcions amenaçadores
La porta del darrere POWERSTAR compta amb una àmplia gamma de capacitats que li permeten dur a terme l'execució remota d'ordres PowerShell i C#. A més, facilita l'establiment de la persistència, recopila informació vital del sistema i permet la descàrrega i l'execució de mòduls addicionals. Aquests mòduls tenen diversos propòsits, com ara enumerar processos en execució, capturar captures de pantalla, cercar fitxers amb extensions específiques i supervisar la integritat dels components de persistència.
A més, el mòdul de neteja ha experimentat millores i ampliacions importants en comparació amb les versions anteriors. Aquest mòdul està dissenyat específicament per eliminar tots els rastres de la presència del programari maliciós i eradicar les claus de registre associades a la persistència. Aquestes millores demostren el compromís constant de Charming Kitten per perfeccionar les seves tècniques i evitar la detecció.
Els investigadors també han observat una variant diferent de POWERSTAR que utilitza un enfocament diferent per recuperar un servidor C2 codificat en dur. Aquesta variant ho aconsegueix descodificant un fitxer emmagatzemat al sistema de fitxers interplanetari descentralitzat (IPFS). Aprofitant aquest mètode, el gatet encantador pretén reforçar la resistència de la seva infraestructura d'atac i millorar la seva capacitat per eludir les mesures de detecció i mitigació.
