POWERSTAR takaovi
The Charming Kitten, valtion tukema ryhmä, joka liittyy Iranin Islamic Revolutionary Guard Corpsiin (IRGC), on tunnistettu toisen kohdistetun keihäs-phishing-kampanjan tekijäksi. Tämä kampanja sisältää päivitetyn version jakelusta kattavasta PowerShell-takaovesta, joka tunnetaan nimellä POWERSTAR.
Tätä uusinta POWERSTAR-versiota on parannettu parannetuilla toiminnallisilla turvatoimilla, mikä tekee tietoturvaanalyytikoille ja tiedustelupalveluille huomattavasti haastavampaa analysoida ja kerätä tietoja haittaohjelmista. Nämä turvatoimenpiteet on suunniteltu estämään havaitseminen ja estämään yrityksiä ymmärtää takaoven sisäistä toimintaa.
Sisällysluettelo
Viehättävän kissanpennun kyberrikolliset luottavat vahvasti sosiaalisen suunnittelun taktiikoihin
Charming Kitten -uhkatoimijat, jotka tunnetaan myös useilla muilla nimillä, kuten APT35, Cobalt Illusion, Mint Sandstorm (entinen Phosphorus) ja Yellow Garuda, ovat osoittaneet asiantuntemusta sosiaalisen suunnittelun tekniikoiden hyödyntämisessä kohteidensa huijaamiseksi. He käyttävät kehittyneitä taktiikoita, mukaan lukien räätälöityjen väärennettyjen henkilöiden luominen sosiaalisen median alustoilla ja pitkittyneiden keskustelujen luomiseksi luottamuksen ja suhteen luomiseksi. Kun suhde on luotu, he lähettävät strategisesti haitallisia linkkejä uhreilleen.
Sosiaalisen suunnittelukykynsä lisäksi Charming Kitten on laajentanut tunkeutumistekniikoiden arsenaaliaan. Viimeaikaiset ryhmän järjestämät hyökkäykset ovat liittyneet muiden implanttien, kuten PowerLessin ja BellaCiaon, käyttöön. Tämä osoittaa, että uhkatoimijalla on käytössään laaja valikoima vakoiluvälineitä, jotka hyödyntävät niitä strategisesti strategisten tavoitteidensa saavuttamiseksi. Tämän monipuolisuuden ansiosta Charming Kitten voi mukauttaa taktiikkaansa ja tekniikkaansa kunkin leikkauksen erityisolosuhteiden mukaan.
POWERSTARin takaoven infektiovektorit kehittyvät
Toukokuun 2023 hyökkäyskampanjassa Charming Kitten käytti älykästä strategiaa parantaakseen POWERSTAR-haittaohjelman tehokkuutta. Vähentääkseen riskiä, että heidän huono koodi altistuu analysoinnille ja havaitsemiselle, he ottivat käyttöön kaksivaiheisen prosessin. Aluksi salasanasuojattua RAR-tiedostoa, joka sisältää LNK-tiedoston, käytetään käynnistämään takaoven lataus Backblazesta. Tämä lähestymistapa hämärsi heidän aikomuksiaan ja esti analysointipyrkimyksiä.
Tutkijoiden mukaan Charming Kitten erotti salauksenpurkumenetelmän tarkoituksella alkuperäisestä koodista ja vältti sen kirjoittamista levylle. Tekemällä näin he lisäsivät ylimääräisen toiminnan turvallisuuden. Salauksen purkumenetelmän irrottaminen Command-and-Control (C2) -palvelimesta toimii suojana tulevia yrityksiä vastaan purkaa vastaavan POWERSTAR-hyötykuorman salaus. Tämä taktiikka estää tehokkaasti vihollisia käyttämästä haittaohjelman kaikkia toimintoja ja rajoittaa onnistuneen salauksen purkamisen mahdollisuuksia Charming Kittenin hallinnan ulkopuolella.
POWERSTARilla on laaja valikoima uhkaavia toimintoja
POWERSTAR-takaovessa on laaja valikoima ominaisuuksia, jotka mahdollistavat sen PowerShell- ja C#-komentojen etäsuorittamisen. Lisäksi se helpottaa pysyvyyden luomista, kerää tärkeitä järjestelmätietoja ja mahdollistaa lisämoduulien lataamisen ja suorittamisen. Nämä moduulit palvelevat erilaisia tarkoituksia, kuten käynnissä olevien prosessien luetteloimista, kuvakaappausten ottamista, tiedostojen etsimistä tietyillä tunnisteilla ja pysyvyyskomponenttien eheyden valvontaa.
Lisäksi puhdistusmoduuliin on tehty merkittäviä parannuksia ja laajennuksia verrattuna aikaisempiin versioihin. Tämä moduuli on erityisesti suunniteltu poistamaan kaikki jäljet haittaohjelmien läsnäolosta ja hävittämään pysyvyyteen liittyvät rekisteriavaimet. Nämä parannukset osoittavat Charming Kittenin jatkuvan sitoutumisen tekniikoiden parantamiseen ja havaitsemisen välttämiseen.
Tutkijat ovat myös havainneet erilaisen POWERSTAR-muunnelman, joka käyttää erillistä lähestymistapaa kovakoodatun C2-palvelimen hakemiseen. Tämä muunnelma saavuttaa tämän dekoodaamalla hajautettuun InterPlanetary Filesystem (IPFS) -tiedostojärjestelmään tallennetun tiedoston. Hyödyntämällä tätä menetelmää Charming Kitten pyrkii vahvistamaan hyökkäysinfrastruktuurinsa joustavuutta ja parantamaan sen kykyä välttää havaitsemis- ja lieventämistoimenpiteitä.
