POWERSTAR דלת אחורית

החתלתול המקסים, קבוצה בחסות המדינה הקשורה לחיל משמרות המהפכה האסלאמית של איראן (IRGC), זוהתה כמבצעת מאחורי מסע דיוג ממוקד נוסף. מסע פרסום זה כולל הפצה של גרסה מעודכנת של דלת אחורית מקיפה של PowerShell הידועה בשם POWERSTAR.

גרסה עדכנית זו של POWERSTAR שופרה באמצעי אבטחה תפעוליים משופרים, מה שהופך את זה להרבה יותר מאתגר עבור מנתחי אבטחה וסוכנויות מודיעין לנתח ולאסוף מידע על התוכנה הזדונית. אמצעי אבטחה אלה נועדו לסכל גילוי ולהפריע למאמצים להבין את פעולתה הפנימית של הדלת האחורית.

פושעי הסייבר של החתלתול המקסים מסתמכים במידה רבה על טקטיקות הנדסה חברתית

שחקני האיום של החתלתול המקסים , הידועים גם בשמות שונים אחרים כמו APT35, Cobalt Illusion, Mint Sandstorm (לשעבר זרחן), ו-Yellow Garuda, הפגינו מומחיות במינוף טכניקות הנדסה חברתית כדי להונות את מטרותיהם. הם נוקטים טקטיקות מתוחכמות, כולל יצירת פרסונות מזויפות מותאמות אישית בפלטפורמות מדיה חברתית והשתתפות בשיחות ממושכות כדי לבסס אמון וקרבה. ברגע שנוצר מערכת יחסים, הם שולחים קישורים זדוניים לקורבנותיהם באופן אסטרטגי.

בנוסף ליכולת ההנדסה החברתית שלו, החתלתול המקסים הרחיב את ארסנל טכניקות החדירה שלו. ההתקפות האחרונות שתוזמנה על ידי הקבוצה כללו פריסת שתלים אחרים, כמו PowerLess ו-BellaCiao. זה מצביע על כך שלשחקן האיום יש מגוון מגוון של כלי ריגול, תוך שימוש בהם אסטרטגית כדי להשיג את יעדיו האסטרטגיים. הרבגוניות הזו מאפשרת לחתלתול המקסים להתאים את הטקטיקה והטכניקות שלו בהתאם לנסיבות הספציפיות של כל פעולה.

וקטורי זיהום בדלת אחורית של POWERSTAR מתפתחים

בקמפיין ההתקפה של מאי 2023, החתלתול המקסים השתמש באסטרטגיה חכמה כדי לשפר את האפקטיביות של תוכנת הזדונית POWERSTAR. כדי להפחית את הסיכון של חשיפת הקוד הרע שלהם לניתוח וזיהוי, הם יישמו תהליך דו-שלבי. בתחילה, נעשה שימוש בקובץ RAR מוגן בסיסמה המכיל קובץ LNK כדי ליזום את ההורדה של הדלת האחורית מ-Backblaze. גישה זו שימשה לטשטש את כוונותיהם ולבלום את מאמצי הניתוח.

לדברי החוקרים, החתלתול המקסים הפריד בכוונה את שיטת הפענוח מהקוד הראשוני ונמנע מלכתוב אותו לדיסק. בכך הם הוסיפו שכבה נוספת של אבטחה תפעולית. ניתוק שיטת הפענוח משרת Command-and-Control (C2) משמש כהגנה מפני ניסיונות עתידיים לפענח את מטען POWERSTAR התואם. טקטיקה זו למעשה מונעת מיריבים לגשת לפונקציונליות המלאה של התוכנה הזדונית ומגבילה את הפוטנציאל לפענוח מוצלח מחוץ לשליטתו של Charming Kitten.

POWERSTAR נושאת מגוון רחב של פונקציות מאיימות

הדלת האחורית של POWERSTAR מתגאה במגוון רחב של יכולות המאפשרות לו לבצע ביצוע מרחוק של פקודות PowerShell ו-C#. בנוסף, זה מקל על ביסוס התמדה, אוסף מידע מערכת חיוני ומאפשר הורדה וביצוע של מודולים נוספים. מודולים אלו משרתים מטרות שונות, כגון ספירת תהליכים רצים, לכידת צילומי מסך, חיפוש קבצים עם הרחבות ספציפיות וניטור שלמות רכיבי התמדה.

יתר על כן, מודול הניקוי עבר שיפורים והרחבות משמעותיים בהשוואה לגרסאות קודמות. מודול זה תוכנן במיוחד כדי לחסל את כל העקבות לנוכחות התוכנה הזדונית ולמגר מפתחות רישום הקשורים להתמדה. שיפורים אלה מדגימים את המחויבות המתמשכת של Charming Kitten לשכלל את הטכניקות שלו ולהתחמק מזיהוי.

חוקרים גם צפו בגרסה שונה של POWERSTAR שמשתמשת בגישה ברורה לאחזור שרת C2 מקודד קשה. גרסה זו משיגה זאת על ידי פענוח קובץ המאוחסן במערכת הקבצים הבין-פלנטרית המבוזרת (IPFS). על ידי מינוף שיטה זו, החתלתול המקסים שואף לחזק את החוסן של תשתית התקיפה שלו ולשפר את יכולתו להתחמק מאמצעי זיהוי והפחתה.