POWERSTAR bakdør
The Charming Kitten, en statsstøttet gruppe knyttet til Irans Islamic Revolutionary Guard Corps (IRGC), har blitt identifisert som gjerningsmannen bak en annen målrettet spyd-phishing-kampanje. Denne kampanjen innebærer distribusjon av en oppdatert variant av en omfattende PowerShell-bakdør kjent som POWERSTAR.
Denne siste versjonen av POWERSTAR har blitt forbedret med forbedrede operasjonelle sikkerhetstiltak, noe som gjør det betydelig mer utfordrende for sikkerhetsanalytikere og etterretningsbyråer å analysere og samle informasjon om skadelig programvare. Disse sikkerhetstiltakene er utformet for å hindre gjenkjenning og hindre forsøk på å forstå bakdørens indre funksjoner.
Innholdsfortegnelse
The Charming Kitten Cyber-kriminelle er avhengige av sosial ingeniørtaktikk
Trusselaktørene fra Charming Kitten , også kjent under forskjellige andre navn som APT35, Cobalt Illusion, Mint Sandstorm (tidligere Phosphorus) og Yellow Garuda, har demonstrert ekspertise i å utnytte sosiale ingeniørteknikker for å lure målene deres. De bruker sofistikerte taktikker, inkludert å lage tilpassede falske personas på sosiale medieplattformer og delta i langvarige samtaler for å etablere tillit og forhold. Når et forhold er etablert, sender de strategisk ondsinnede lenker til ofrene sine.
I tillegg til sin sosiale ingeniørevne, har Charming Kitten utvidet sitt arsenal av inntrengningsteknikker. Nylige angrep orkestrert av gruppen har involvert utplassering av andre implantater, som PowerLess og BellaCiao. Dette indikerer at trusselaktøren besitter et mangfoldig utvalg av spionasjeverktøy, som bruker dem strategisk for å nå sine strategiske mål. Denne allsidigheten lar den sjarmerende kattungen tilpasse taktikken og teknikkene sine i henhold til de spesifikke omstendighetene for hver operasjon.
POWERSTAR bakdørsinfeksjonsvektorer utvikler seg
I angrepskampanjen i mai 2023 brukte Charming Kitten en smart strategi for å forbedre effektiviteten til POWERSTAR-malwaren. For å redusere risikoen for å utsette den dårlige koden deres for analyse og deteksjon, implementerte de en to-trinns prosess. Til å begynne med brukes en passordbeskyttet RAR-fil som inneholder en LNK-fil for å starte nedlastingen av bakdøren fra Backblaze. Denne tilnærmingen tjente til å tilsløre intensjonene deres og hindre analysearbeid.
Ifølge forskere skilte den sjarmerende kattungen med vilje dekrypteringsmetoden fra den opprinnelige koden og unngikk å skrive den til disk. Ved å gjøre det la de til et ekstra lag med driftssikkerhet. Frakoblingen av dekrypteringsmetoden fra Command-and-Control-serveren (C2) tjener som en beskyttelse mot fremtidige forsøk på å dekryptere den tilsvarende POWERSTAR-nyttelasten. Denne taktikken forhindrer effektivt motstandere fra å få tilgang til den fulle funksjonaliteten til skadelig programvare og begrenser potensialet for vellykket dekryptering utenfor Charming Kittens kontroll.
POWERSTAR har et bredt spekter av truende funksjoner
POWERSTAR-bakdøren har et omfattende utvalg av funksjoner som gjør den i stand til å utføre ekstern kjøring av PowerShell- og C#-kommandoer. I tillegg letter det etableringen av utholdenhet, samler viktig systeminformasjon og muliggjør nedlasting og utførelse av tilleggsmoduler. Disse modulene tjener ulike formål, for eksempel å telle opp prosesser som kjører, ta skjermbilder, søke etter filer med spesifikke utvidelser og overvåke integriteten til utholdenhetskomponenter.
Videre har oppryddingsmodulen gjennomgått betydelige forbedringer og utvidelser sammenlignet med tidligere versjoner. Denne modulen er spesielt utviklet for å eliminere alle spor etter skadelig programvares tilstedeværelse og utrydde registernøkler forbundet med utholdenhet. Disse forbedringene demonstrerer Charming Kittens pågående forpliktelse til å foredle teknikkene og unngå deteksjon.
Forskere har også observert en annen variant av POWERSTAR som bruker en distinkt tilnærming for å hente en hardkodet C2-server. Denne varianten oppnår dette ved å dekode en fil som er lagret på det desentraliserte InterPlanetary Filesystem (IPFS). Ved å utnytte denne metoden, sikter den sjarmerende kattungen på å styrke motstandskraften til angrepsinfrastrukturen og forbedre dens evne til å unngå deteksjon og avbøtende tiltak.
