POWERSTAR पछाडिको ढोका

इरानको इस्लामिक रिभोलुसनरी गार्ड कोर्प्स (IRGC) सँग जोडिएको राज्य-प्रायोजित समूह, द Charming Kitten, अर्को लक्षित भाला-फिशिङ अभियानको पछाडि अपराधीको रूपमा पहिचान गरिएको छ। यस अभियानमा POWERSTAR भनेर चिनिने व्यापक PowerShell ब्याकडोरको अद्यावधिक संस्करणको वितरण समावेश छ।

POWERSTAR को यो नवीनतम संस्करण मा सुधारिएको परिचालन सुरक्षा उपायहरु संग बृद्धि गरिएको छ, सुरक्षा विश्लेषकहरु र गुप्तचर एजेन्सीहरु लाई मालवेयर को बारे मा जानकारी को विश्लेषण र संकलन गर्न को लागी धेरै चुनौतीपूर्ण बनाइयो। यी सुरक्षा उपायहरू पत्ता लगाउन र ब्याकडोरको भित्री कार्यहरू बुझ्नको लागि प्रयासहरूलाई रोक्नको लागि डिजाइन गरिएको हो।

आकर्षक बिरालो साइबर अपराधीहरू सामाजिक ईन्जिनियरिङ् रणनीतिहरूमा धेरै निर्भर छन्

APT35, Cobalt Illusion, Mint Sandstorm (पहिले फास्फोरस), र Yellow Garuda जस्ता अन्य विभिन्न नामहरूले पनि चिनिने आकर्षक Kitten खतरा अभिनेताहरूले आफ्ना लक्ष्यहरूलाई धोका दिन सामाजिक ईन्जिनियरिङ् प्रविधिहरू प्रयोग गर्नमा विशेषज्ञता प्रदर्शन गरेका छन्। उनीहरूले परिष्कृत रणनीतिहरू प्रयोग गर्छन्, जसमा सोशल मिडिया प्लेटफर्महरूमा अनुकूलन नक्कली व्यक्तित्वहरू सिर्जना गर्ने र विश्वास र सम्बन्ध स्थापित गर्न लामो कुराकानीमा संलग्न हुन्छन्। एक पटक सम्बन्ध स्थापित भएपछि, तिनीहरू रणनीतिक रूपमा आफ्ना पीडितहरूलाई दुर्भावनापूर्ण लिङ्कहरू पठाउँछन्।

यसको सामाजिक ईन्जिनियरिङ् क्षमताको अतिरिक्त, आकर्षक बिरालोले आफ्नो घुसपैठ प्रविधिको शस्त्रागार विस्तार गरेको छ। समूह द्वारा आयोजित भर्खरका आक्रमणहरूमा पावरलेस र बेलासियाओ जस्ता अन्य प्रत्यारोपणहरूको तैनाती समावेश छ। यसले संकेत गर्दछ कि खतरा अभिनेतासँग विभिन्न प्रकारका जासुसी उपकरणहरू छन्, तिनीहरूलाई रणनीतिक रूपमा तिनीहरूको रणनीतिक उद्देश्यहरू प्राप्त गर्न प्रयोग गर्दै। यो बहुमुखी प्रतिभाले आकर्षक बिरालाको बच्चालाई प्रत्येक अपरेशनको विशिष्ट परिस्थिति अनुसार तिनीहरूको रणनीति र प्रविधिहरू अनुकूलन गर्न अनुमति दिन्छ।

POWERSTAR ब्याकडोर इन्फेक्सन भेक्टरहरू विकसित हुँदैछन्

मे २०२३ को आक्रमण अभियानमा, Charming Kitten ले POWERSTAR मालवेयरको प्रभावकारिता बढाउन एउटा चलाख रणनीति अपनायो। तिनीहरूको खराब कोड विश्लेषण र पत्ता लगाउने जोखिमलाई कम गर्न, तिनीहरूले दुई-चरण प्रक्रिया लागू गरे। सुरुमा, ब्याकब्लेजबाट ब्याकडोरको डाउनलोड सुरु गर्न LNK फाइल भएको पासवर्ड-सुरक्षित RAR फाइल प्रयोग गरिन्छ। यस दृष्टिकोणले उनीहरूको मनसायलाई अस्पष्ट पार्ने र विश्लेषण प्रयासहरूलाई बाधा पुर्‍याउने काम गर्‍यो।

अन्वेषकहरूका अनुसार, आकर्षक किटनले जानाजानी डिक्रिप्शन विधिलाई प्रारम्भिक कोडबाट अलग गर्‍यो र यसलाई डिस्कमा लेख्न बेवास्ता गर्यो। त्यसो गरेर, तिनीहरूले परिचालन सुरक्षाको अतिरिक्त तह थपे। Command-and-Control (C2) सर्भरबाट डिक्रिप्शन विधिको डिकपलिंगले POWERSTAR पेलोडलाई डिक्रिप्ट गर्ने भविष्यका प्रयासहरू विरुद्ध सुरक्षाको रूपमा कार्य गर्दछ। यो रणनीतिले प्रभावकारी रूपमा विरोधीहरूलाई मालवेयरको पूर्ण कार्यक्षमता पहुँच गर्नबाट रोक्छ र आकर्षक किटनको नियन्त्रण बाहिर सफल डिक्रिप्शनको सम्भावनालाई सीमित गर्दछ।

POWERSTAR ले धम्की दिने कार्यहरूको फराकिलो दायरा बोक्छ

POWERSTAR ब्याकडोरले क्षमताहरूको विस्तृत दायरालाई समेट्छ जसले यसलाई PowerShell र C# आदेशहरूको रिमोट कार्यान्वयन सञ्चालन गर्न सशक्त बनाउँछ। थप रूपमा, यसले दृढताको स्थापनालाई सुविधा दिन्छ, महत्त्वपूर्ण प्रणाली जानकारी सङ्कलन गर्दछ, र थप मोड्युलहरूको डाउनलोड र कार्यान्वयन सक्षम गर्दछ। यी मोड्युलहरूले विभिन्न उद्देश्यहरू सेवा गर्दछ, जस्तै चलिरहेको प्रक्रियाहरू गणना गर्ने, स्क्रिनसटहरू क्याप्चर गर्ने, विशिष्ट विस्तारहरूसँग फाइलहरू खोज्ने, र दृढता कम्पोनेन्टहरूको अखण्डता निगरानी गर्ने।

यसबाहेक, क्लिनअप मोड्युलले अघिल्लो संस्करणहरूको तुलनामा महत्त्वपूर्ण सुधार र विस्तारहरू पार गरेको छ। यो मोड्युल विशेष गरी मालवेयरको उपस्थितिका सबै ट्रेसहरू हटाउन र दृढतासँग सम्बन्धित रजिस्ट्री कुञ्जीहरू मेटाउन डिजाइन गरिएको हो। यी संवर्द्धनहरूले यसको प्रविधिहरू परिष्कृत गर्न र पत्ता लगाउनबाट बचाउनको लागि आकर्षक बिरालोको निरन्तर प्रतिबद्धता प्रदर्शन गर्दछ।

शोधकर्ताहरूले POWERSTAR को एक फरक संस्करण पनि अवलोकन गरेका छन् जसले हार्ड-कोड गरिएको C2 सर्भर पुन: प्राप्त गर्नको लागि एक फरक दृष्टिकोण प्रयोग गर्दछ। विकेन्द्रीकृत इन्टरप्लेनेटरी फाइलसिस्टम (IPFS) मा भण्डारण गरिएको फाइल डिकोड गरेर यो संस्करणले यो प्राप्त गर्दछ। यस विधिको लाभ उठाएर, आकर्षक बिरालाको बच्चाले यसको आक्रमण पूर्वाधारको लचिलोपनलाई बलियो बनाउने र पत्ता लगाउने र शमन उपायहरूबाट बच्ने क्षमता बढाउने लक्ष्य राख्छ।