POWERSTAR Backdoor
ईरान के इस्लामिक रिवोल्यूशनरी गार्ड कॉर्प्स (आईआरजीसी) से जुड़ा एक राज्य-प्रायोजित समूह चार्मिंग किटन को एक और लक्षित भाला-फ़िशिंग अभियान के पीछे अपराधी के रूप में पहचाना गया है। इस अभियान में पावरस्टार नामक व्यापक पावरशेल बैकडोर के एक अद्यतन संस्करण का वितरण शामिल है।
पावरस्टार के इस नवीनतम संस्करण को बेहतर परिचालन सुरक्षा उपायों के साथ बढ़ाया गया है, जिससे सुरक्षा विश्लेषकों और खुफिया एजेंसियों के लिए मैलवेयर के बारे में विश्लेषण और जानकारी इकट्ठा करना काफी चुनौतीपूर्ण हो गया है। ये सुरक्षा उपाय पहचान को विफल करने और पिछले दरवाजे की आंतरिक कार्यप्रणाली को समझने के प्रयासों में बाधा डालने के लिए डिज़ाइन किए गए हैं।
विषयसूची
आकर्षक बिल्ली के बच्चे साइबर अपराधी सोशल इंजीनियरिंग रणनीति पर बहुत अधिक भरोसा करते हैं
चार्मिंग किटन थ्रेट एक्टर्स, जिन्हें एपीटी35, कोबाल्ट इल्यूजन, मिंट सैंडस्टॉर्म (पूर्व में फॉस्फोरस) और येलो गरुड़ जैसे कई अन्य नामों से भी जाना जाता है, ने अपने लक्ष्यों को धोखा देने के लिए सोशल इंजीनियरिंग तकनीकों का लाभ उठाने में विशेषज्ञता का प्रदर्शन किया है। वे परिष्कृत रणनीति अपनाते हैं, जिसमें सोशल मीडिया प्लेटफॉर्म पर कस्टम नकली व्यक्तित्व बनाना और विश्वास और संबंध स्थापित करने के लिए लंबी बातचीत में शामिल होना शामिल है। एक बार संबंध स्थापित हो जाने के बाद, वे रणनीतिक रूप से अपने पीड़ितों को दुर्भावनापूर्ण लिंक भेजते हैं।
अपनी सामाजिक इंजीनियरिंग कौशल के अलावा, चार्मिंग किटन ने घुसपैठ तकनीकों के अपने शस्त्रागार का विस्तार किया है। समूह द्वारा हाल ही में किए गए हमलों में पावरलेस और बेलासियाओ जैसे अन्य प्रत्यारोपणों की तैनाती शामिल है। यह इंगित करता है कि धमकी देने वाले अभिनेता के पास जासूसी उपकरणों की एक विविध श्रृंखला है, जो अपने रणनीतिक उद्देश्यों को प्राप्त करने के लिए रणनीतिक रूप से उनका उपयोग करता है। यह बहुमुखी प्रतिभा आकर्षक बिल्ली के बच्चे को प्रत्येक ऑपरेशन की विशिष्ट परिस्थितियों के अनुसार अपनी रणनीति और तकनीकों को अनुकूलित करने की अनुमति देती है।
POWERSTAR Backdoor संक्रमण वेक्टर विकसित हो रहे हैं
मई 2023 के हमले अभियान में, चार्मिंग किटन ने पावरस्टार मैलवेयर की प्रभावशीलता को बढ़ाने के लिए एक चतुर रणनीति अपनाई। विश्लेषण और पता लगाने के लिए अपने खराब कोड को उजागर करने के जोखिम को कम करने के लिए, उन्होंने दो-चरणीय प्रक्रिया लागू की। प्रारंभ में, बैकब्लेज़ से बैकडोर डाउनलोड शुरू करने के लिए एलएनके फ़ाइल वाली एक पासवर्ड-संरक्षित आरएआर फ़ाइल का उपयोग किया जाता है। इस दृष्टिकोण ने उनके इरादों को धुंधला करने और विश्लेषण प्रयासों में बाधा डालने का काम किया।
शोधकर्ताओं के अनुसार, आकर्षक बिल्ली के बच्चे ने जानबूझकर डिक्रिप्शन विधि को प्रारंभिक कोड से अलग कर दिया और इसे डिस्क पर लिखने से परहेज किया। ऐसा करके, उन्होंने परिचालन सुरक्षा की एक अतिरिक्त परत जोड़ दी। कमांड-एंड-कंट्रोल (C2) सर्वर से डिक्रिप्शन विधि का डिकॉउलिंग संबंधित पावरस्टार पेलोड को डिक्रिप्ट करने के भविष्य के प्रयासों के खिलाफ सुरक्षा के रूप में कार्य करता है। यह युक्ति प्रभावी रूप से विरोधियों को मैलवेयर की पूर्ण कार्यक्षमता तक पहुँचने से रोकती है और चार्मिंग किटन के नियंत्रण के बाहर सफल डिक्रिप्शन की क्षमता को सीमित करती है।
POWERSTAR Backdoor देने वाले कार्यों की एक विस्तृत श्रृंखला पेश करता है
POWERSTAR Backdoor में क्षमताओं की एक विस्तृत श्रृंखला है जो इसे पावरशेल और सी # कमांड के दूरस्थ निष्पादन का संचालन करने में सशक्त बनाती है। इसके अतिरिक्त, यह दृढ़ता की स्थापना की सुविधा देता है, महत्वपूर्ण सिस्टम जानकारी एकत्र करता है, और अतिरिक्त मॉड्यूल के डाउनलोड और निष्पादन को सक्षम बनाता है। ये मॉड्यूल विभिन्न उद्देश्यों को पूरा करते हैं, जैसे चल रही प्रक्रियाओं की गणना करना, स्क्रीनशॉट कैप्चर करना, विशिष्ट एक्सटेंशन वाली फ़ाइलों की खोज करना और दृढ़ता घटकों की अखंडता की निगरानी करना।
इसके अलावा, क्लीनअप मॉड्यूल में पिछले संस्करणों की तुलना में महत्वपूर्ण सुधार और विस्तार हुआ है। यह मॉड्यूल विशेष रूप से मैलवेयर की उपस्थिति के सभी निशानों को खत्म करने और दृढ़ता से जुड़ी रजिस्ट्री कुंजियों को मिटाने के लिए डिज़ाइन किया गया है। ये संवर्द्धन अपनी तकनीकों को परिष्कृत करने और पहचान से बचने के लिए चार्मिंग किटन की चल रही प्रतिबद्धता को प्रदर्शित करते हैं।
शोधकर्ताओं ने पावरस्टार का एक अलग संस्करण भी देखा है जो हार्ड-कोडेड सी2 सर्वर को पुनः प्राप्त करने के लिए एक अलग दृष्टिकोण का उपयोग करता है। यह वैरिएंट विकेंद्रीकृत इंटरप्लेनेटरी फाइलसिस्टम (आईपीएफएस) पर संग्रहीत फ़ाइल को डिकोड करके इसे प्राप्त करता है। इस पद्धति का लाभ उठाकर, चार्मिंग किटन का लक्ष्य अपने हमले के बुनियादी ढांचे के लचीलेपन को बढ़ाना और पता लगाने और शमन उपायों से बचने की अपनी क्षमता को बढ़ाना है।
