POWERSTAR Backdoor
The Charming Kitten, un gruppo sponsorizzato dallo stato collegato al Corpo delle guardie rivoluzionarie islamiche (IRGC) dell'Iran, è stato identificato come l'autore di un'altra campagna mirata di spear phishing. Questa campagna prevede la distribuzione di una variante aggiornata di una backdoor completa di PowerShell nota come POWERSTAR.
Quest'ultima versione di POWERSTAR è stata potenziata con migliori misure di sicurezza operativa, rendendo notevolmente più difficile per gli analisti della sicurezza e le agenzie di intelligence analizzare e raccogliere informazioni sul malware. Queste misure di sicurezza sono progettate per contrastare il rilevamento e ostacolare gli sforzi per comprendere il funzionamento interno della backdoor.
Sommario
L'affascinante gattino I criminali informatici fanno molto affidamento sulle tattiche di ingegneria sociale
Gli attori della minaccia Charming Kitten , noti anche con vari altri nomi come APT35, Cobalt Illusion, Mint Sandstorm (ex Phosphorus) e Yellow Garuda, hanno dimostrato competenza nello sfruttare le tecniche di ingegneria sociale per ingannare i loro obiettivi. Impiegano tattiche sofisticate, inclusa la creazione di personaggi falsi personalizzati su piattaforme di social media e l'impegno in conversazioni prolungate per stabilire fiducia e rapporto. Una volta stabilita una relazione, inviano strategicamente collegamenti dannosi alle loro vittime.
Oltre alla sua abilità di ingegneria sociale, Charming Kitten ha ampliato il suo arsenale di tecniche di intrusione. I recenti attacchi orchestrati dal gruppo hanno comportato il dispiegamento di altri impianti, come PowerLess e BellaCiao. Ciò indica che l'autore della minaccia possiede una vasta gamma di strumenti di spionaggio, utilizzandoli strategicamente per raggiungere i propri obiettivi strategici. Questa versatilità consente a Charming Kitten di adattare le proprie tattiche e tecniche in base alle circostanze specifiche di ogni operazione.
I vettori di infezione backdoor POWERSTAR si stanno evolvendo
Nella campagna di attacco del maggio 2023, Charming Kitten ha utilizzato una strategia intelligente per migliorare l'efficacia del malware POWERSTAR. Per mitigare il rischio di esporre il loro codice errato all'analisi e al rilevamento, hanno implementato un processo in due fasi. Inizialmente, viene utilizzato un file RAR protetto da password contenente un file LNK per avviare il download della backdoor da Backblaze. Questo approccio è servito a offuscare le loro intenzioni e ostacolare gli sforzi di analisi.
Secondo i ricercatori, Charming Kitten ha intenzionalmente separato il metodo di decrittazione dal codice iniziale ed ha evitato di scriverlo su disco. In tal modo, hanno aggiunto un ulteriore livello di sicurezza operativa. Il disaccoppiamento del metodo di decrittografia dal server Command-and-Control (C2) funge da salvaguardia contro futuri tentativi di decrittografia del payload POWERSTAR corrispondente. Questa tattica impedisce efficacemente agli avversari di accedere alla piena funzionalità del malware e limita il potenziale di decrittazione riuscita al di fuori del controllo di Charming Kitten.
POWERSTAR svolge un'ampia gamma di funzioni minacciose
La backdoor POWERSTAR vanta un'ampia gamma di funzionalità che le consentono di condurre l'esecuzione remota di comandi PowerShell e C#. Inoltre, facilita l'istituzione della persistenza, raccoglie informazioni vitali sul sistema e consente il download e l'esecuzione di moduli aggiuntivi. Questi moduli servono a vari scopi, come l'enumerazione dei processi in esecuzione, l'acquisizione di schermate, la ricerca di file con estensioni specifiche e il monitoraggio dell'integrità dei componenti di persistenza.
Inoltre, il modulo di pulizia ha subito notevoli miglioramenti ed espansioni rispetto alle versioni precedenti. Questo modulo è specificamente progettato per eliminare ogni traccia della presenza del malware e sradicare le chiavi di registro associate alla persistenza. Questi miglioramenti dimostrano l'impegno continuo di Charming Kitten nel perfezionare le sue tecniche e nell'eludere il rilevamento.
I ricercatori hanno anche osservato una variante diversa di POWERSTAR che utilizza un approccio distinto per recuperare un server C2 codificato. Questa variante raggiunge questo obiettivo decodificando un file memorizzato sul filesystem interplanetario decentralizzato (IPFS). Sfruttando questo metodo, Charming Kitten mira a rafforzare la resilienza della sua infrastruttura di attacco e migliorare la sua capacità di eludere le misure di rilevamento e mitigazione.
