POWERSTAR Achterdeur
The Charming Kitten, een door de staat gesponsorde groep die banden heeft met de Iraanse Islamitische Revolutionaire Garde (IRGC), is geïdentificeerd als de dader achter een andere gerichte spear-phishing-campagne. Deze campagne omvat de distributie van een bijgewerkte variant van een uitgebreide PowerShell-achterdeur, bekend als POWERSTAR.
Deze nieuwste versie van POWERSTAR is verbeterd met verbeterde operationele beveiligingsmaatregelen, waardoor het voor beveiligingsanalisten en inlichtingendiensten aanzienlijk moeilijker wordt om informatie over de malware te analyseren en te verzamelen. Deze beveiligingsmaatregelen zijn ontworpen om detectie te dwarsbomen en pogingen om de innerlijke werking van de achterdeur te begrijpen te belemmeren.
Inhoudsopgave
The Charming Kitten Cybercriminelen vertrouwen sterk op social engineering-tactieken
De bedreigingsacteurs van Charming Kitten , ook bekend onder verschillende andere namen, zoals APT35, Cobalt Illusion, Mint Sandstorm (voorheen Phosphorus) en Yellow Garuda, hebben blijk gegeven van expertise in het gebruik van social engineering-technieken om hun doelen te misleiden. Ze passen geavanceerde tactieken toe, waaronder het creëren van aangepaste nep-persona's op sociale-mediaplatforms en het aangaan van langdurige gesprekken om vertrouwen en verstandhouding op te bouwen. Zodra er een relatie tot stand is gebracht, sturen ze op strategische wijze kwaadaardige links naar hun slachtoffers.
Naast zijn vaardigheden op het gebied van social engineering heeft de Charming Kitten zijn arsenaal aan inbraaktechnieken uitgebreid. Bij recente aanvallen die door de groep zijn georkestreerd, zijn andere implantaten ingezet, zoals PowerLess en BellaCiao. Dit geeft aan dat de bedreigingsactor over een breed scala aan spionagetools beschikt en deze strategisch gebruikt om zijn strategische doelstellingen te bereiken. Deze veelzijdigheid stelt de Charming Kitten in staat om hun tactieken en technieken aan te passen aan de specifieke omstandigheden van elke operatie.
POWERSTAR Backdoor Infectievectoren evolueren
In de aanvalscampagne van mei 2023 gebruikte de Charming Kitten een slimme strategie om de effectiviteit van de POWERSTAR-malware te verbeteren. Om het risico te verkleinen dat hun slechte code wordt blootgesteld aan analyse en detectie, hebben ze een proces in twee stappen geïmplementeerd. Aanvankelijk wordt een met een wachtwoord beveiligd RAR-bestand met een LNK-bestand gebruikt om de download van de backdoor van Backblaze te starten. Deze benadering diende om hun bedoelingen te verdoezelen en analyse-inspanningen te belemmeren.
Volgens onderzoekers heeft de Charming Kitten opzettelijk de decoderingsmethode gescheiden van de initiële code en vermeden om deze naar schijf te schrijven. Door dit te doen, voegden ze een extra laag operationele veiligheid toe. De ontkoppeling van de decoderingsmethode van de Command-and-Control (C2)-server dient als bescherming tegen toekomstige pogingen om de overeenkomstige POWERSTAR-payload te decoderen. Deze tactiek voorkomt effectief dat kwaadwillenden toegang krijgen tot de volledige functionaliteit van de malware en beperkt de kans op succesvolle decodering buiten de controle van Charming Kitten.
POWERSTAR heeft een breed scala aan bedreigende functies
De POWERSTAR-achterdeur beschikt over een uitgebreid scala aan mogelijkheden die hem in staat stellen om op afstand PowerShell- en C#-opdrachten uit te voeren. Bovendien vergemakkelijkt het het tot stand brengen van persistentie, verzamelt het vitale systeeminformatie en maakt het downloaden en uitvoeren van extra modules mogelijk. Deze modules hebben verschillende doelen, zoals het opsommen van lopende processen, het maken van schermafbeeldingen, het zoeken naar bestanden met specifieke extensies en het bewaken van de integriteit van persistentiecomponenten.
Verder heeft de opschoonmodule aanzienlijke verbeteringen en uitbreidingen ondergaan ten opzichte van eerdere versies. Deze module is speciaal ontworpen om alle sporen van de aanwezigheid van malware te verwijderen en registersleutels uit te roeien die verband houden met persistentie. Deze verbeteringen demonstreren de voortdurende inzet van Charming Kitten om zijn technieken te verfijnen en detectie te omzeilen.
Onderzoekers hebben ook een andere variant van POWERSTAR waargenomen die een aparte aanpak hanteert om een hard-coded C2-server op te halen. Deze variant bereikt dit door een bestand te decoderen dat is opgeslagen op het gedecentraliseerde InterPlanetary Filesystem (IPFS). Door gebruik te maken van deze methode wil de Charming Kitten de veerkracht van zijn aanvalsinfrastructuur versterken en zijn vermogen vergroten om detectie- en risicobeperkende maatregelen te omzeilen.
