POWERSTAR Backdoor
ਇਰਾਨ ਦੇ ਇਸਲਾਮਿਕ ਰੈਵੋਲਿਊਸ਼ਨਰੀ ਗਾਰਡ ਕੋਰ (IRGC) ਨਾਲ ਜੁੜਿਆ ਇੱਕ ਰਾਜ-ਪ੍ਰਯੋਜਿਤ ਸਮੂਹ, ਚਾਰਮਿੰਗ ਕਿਟਨ, ਨੂੰ ਇੱਕ ਹੋਰ ਨਿਸ਼ਾਨਾ ਬਰਛੀ-ਫਿਸ਼ਿੰਗ ਮੁਹਿੰਮ ਦੇ ਪਿੱਛੇ ਅਪਰਾਧੀ ਵਜੋਂ ਪਛਾਣਿਆ ਗਿਆ ਹੈ। ਇਸ ਮੁਹਿੰਮ ਵਿੱਚ ਪਾਵਰਸ਼ੇਲ ਬੈਕਡੋਰ ਦੇ ਇੱਕ ਅੱਪਡੇਟ ਵੇਰੀਐਂਟ ਦੀ ਵੰਡ ਸ਼ਾਮਲ ਹੈ ਜਿਸਨੂੰ POWERSTAR ਕਿਹਾ ਜਾਂਦਾ ਹੈ।
POWERSTAR ਦੇ ਇਸ ਨਵੀਨਤਮ ਸੰਸਕਰਣ ਨੂੰ ਬਿਹਤਰ ਸੰਚਾਲਨ ਸੁਰੱਖਿਆ ਉਪਾਵਾਂ ਦੇ ਨਾਲ ਵਧਾਇਆ ਗਿਆ ਹੈ, ਜਿਸ ਨਾਲ ਸੁਰੱਖਿਆ ਵਿਸ਼ਲੇਸ਼ਕਾਂ ਅਤੇ ਖੁਫੀਆ ਏਜੰਸੀਆਂ ਲਈ ਮਾਲਵੇਅਰ ਬਾਰੇ ਜਾਣਕਾਰੀ ਦਾ ਵਿਸ਼ਲੇਸ਼ਣ ਕਰਨਾ ਅਤੇ ਇਕੱਠਾ ਕਰਨਾ ਬਹੁਤ ਜ਼ਿਆਦਾ ਚੁਣੌਤੀਪੂਰਨ ਹੈ। ਇਹ ਸੁਰੱਖਿਆ ਉਪਾਅ ਖੋਜ ਨੂੰ ਅਸਫਲ ਕਰਨ ਅਤੇ ਪਿਛਲੇ ਦਰਵਾਜ਼ੇ ਦੇ ਅੰਦਰੂਨੀ ਕੰਮਕਾਜ ਨੂੰ ਸਮਝਣ ਦੀਆਂ ਕੋਸ਼ਿਸ਼ਾਂ ਵਿੱਚ ਰੁਕਾਵਟ ਪਾਉਣ ਲਈ ਤਿਆਰ ਕੀਤੇ ਗਏ ਹਨ।
ਮਨਮੋਹਕ ਬਿੱਲੀ ਦੇ ਸਾਈਬਰ ਅਪਰਾਧੀ ਸੋਸ਼ਲ ਇੰਜੀਨੀਅਰਿੰਗ ਰਣਨੀਤੀਆਂ 'ਤੇ ਬਹੁਤ ਜ਼ਿਆਦਾ ਭਰੋਸਾ ਕਰਦੇ ਹਨ
ਚਾਰਮਿੰਗ ਕਿਟਨ ਦੇ ਖਤਰੇ ਵਾਲੇ ਅਦਾਕਾਰ, ਜਿਨ੍ਹਾਂ ਨੂੰ ਕਈ ਹੋਰ ਨਾਵਾਂ ਜਿਵੇਂ ਕਿ APT35, ਕੋਬਾਲਟ ਇਲਿਊਜ਼ਨ, ਮਿੰਟ ਸੈਂਡਸਟੋਰਮ (ਪਹਿਲਾਂ ਫਾਸਫੋਰਸ), ਅਤੇ ਯੈਲੋ ਗਰੂਡਾ ਨਾਲ ਵੀ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ, ਨੇ ਆਪਣੇ ਟੀਚਿਆਂ ਨੂੰ ਧੋਖਾ ਦੇਣ ਲਈ ਸੋਸ਼ਲ ਇੰਜਨੀਅਰਿੰਗ ਤਕਨੀਕਾਂ ਦਾ ਲਾਭ ਲੈਣ ਵਿੱਚ ਮੁਹਾਰਤ ਦਾ ਪ੍ਰਦਰਸ਼ਨ ਕੀਤਾ ਹੈ। ਉਹ ਸੋਸ਼ਲ ਮੀਡੀਆ ਪਲੇਟਫਾਰਮਾਂ 'ਤੇ ਕਸਟਮ ਜਾਅਲੀ ਵਿਅਕਤੀ ਬਣਾਉਣਾ ਅਤੇ ਵਿਸ਼ਵਾਸ ਅਤੇ ਤਾਲਮੇਲ ਸਥਾਪਤ ਕਰਨ ਲਈ ਲੰਬੇ ਸਮੇਂ ਤੱਕ ਗੱਲਬਾਤ ਵਿੱਚ ਸ਼ਾਮਲ ਹੋਣ ਸਮੇਤ ਵਧੀਆ ਰਣਨੀਤੀਆਂ ਦਾ ਇਸਤੇਮਾਲ ਕਰਦੇ ਹਨ। ਇੱਕ ਵਾਰ ਇੱਕ ਰਿਸ਼ਤਾ ਸਥਾਪਿਤ ਹੋਣ ਤੋਂ ਬਾਅਦ, ਉਹ ਰਣਨੀਤਕ ਤੌਰ 'ਤੇ ਆਪਣੇ ਪੀੜਤਾਂ ਨੂੰ ਖਤਰਨਾਕ ਲਿੰਕ ਭੇਜਦੇ ਹਨ।
ਇਸਦੀ ਸੋਸ਼ਲ ਇੰਜੀਨੀਅਰਿੰਗ ਸ਼ਕਤੀ ਤੋਂ ਇਲਾਵਾ, ਚਾਰਮਿੰਗ ਕਿਟਨ ਨੇ ਘੁਸਪੈਠ ਦੀਆਂ ਤਕਨੀਕਾਂ ਦੇ ਆਪਣੇ ਹਥਿਆਰਾਂ ਦਾ ਵਿਸਥਾਰ ਕੀਤਾ ਹੈ। ਸਮੂਹ ਦੁਆਰਾ ਕੀਤੇ ਗਏ ਤਾਜ਼ਾ ਹਮਲਿਆਂ ਵਿੱਚ ਪਾਵਰਲੇਸ ਅਤੇ ਬੇਲਾਸੀਓ ਵਰਗੇ ਹੋਰ ਇਮਪਲਾਂਟ ਦੀ ਤਾਇਨਾਤੀ ਸ਼ਾਮਲ ਹੈ। ਇਹ ਦਰਸਾਉਂਦਾ ਹੈ ਕਿ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਭਿਨੇਤਾ ਕੋਲ ਜਾਸੂਸੀ ਸਾਧਨਾਂ ਦੀ ਇੱਕ ਵਿਭਿੰਨ ਸ਼੍ਰੇਣੀ ਹੈ, ਉਹਨਾਂ ਨੂੰ ਆਪਣੇ ਰਣਨੀਤਕ ਉਦੇਸ਼ਾਂ ਨੂੰ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਰਣਨੀਤਕ ਤੌਰ 'ਤੇ ਵਰਤਦਾ ਹੈ। ਇਹ ਬਹੁਪੱਖੀਤਾ ਚਾਰਮਿੰਗ ਬਿੱਲੀ ਦੇ ਬੱਚੇ ਨੂੰ ਹਰੇਕ ਓਪਰੇਸ਼ਨ ਦੇ ਖਾਸ ਹਾਲਾਤਾਂ ਦੇ ਅਨੁਸਾਰ ਉਹਨਾਂ ਦੀਆਂ ਰਣਨੀਤੀਆਂ ਅਤੇ ਤਕਨੀਕਾਂ ਨੂੰ ਅਨੁਕੂਲ ਬਣਾਉਣ ਦੀ ਆਗਿਆ ਦਿੰਦੀ ਹੈ।
ਪਾਵਰਸਟਾਰ ਬੈਕਡੋਰ ਇਨਫੈਕਸ਼ਨ ਵੈਕਟਰ ਵਿਕਸਿਤ ਹੋ ਰਹੇ ਹਨ
ਮਈ 2023 ਦੇ ਹਮਲੇ ਦੀ ਮੁਹਿੰਮ ਵਿੱਚ, ਚਾਰਮਿੰਗ ਕਿਟਨ ਨੇ ਪਾਵਰਸਟਾਰ ਮਾਲਵੇਅਰ ਦੀ ਪ੍ਰਭਾਵਸ਼ੀਲਤਾ ਨੂੰ ਵਧਾਉਣ ਲਈ ਇੱਕ ਹੁਸ਼ਿਆਰ ਰਣਨੀਤੀ ਅਪਣਾਈ। ਵਿਸ਼ਲੇਸ਼ਣ ਅਤੇ ਖੋਜ ਲਈ ਉਹਨਾਂ ਦੇ ਮਾੜੇ ਕੋਡ ਨੂੰ ਪ੍ਰਗਟ ਕਰਨ ਦੇ ਜੋਖਮ ਨੂੰ ਘਟਾਉਣ ਲਈ, ਉਹਨਾਂ ਨੇ ਦੋ-ਪੜਾਅ ਦੀ ਪ੍ਰਕਿਰਿਆ ਨੂੰ ਲਾਗੂ ਕੀਤਾ। ਸ਼ੁਰੂ ਵਿੱਚ, ਇੱਕ LNK ਫਾਈਲ ਵਾਲੀ ਇੱਕ ਪਾਸਵਰਡ-ਸੁਰੱਖਿਅਤ RAR ਫਾਈਲ ਦੀ ਵਰਤੋਂ ਬੈਕਬਲੇਜ਼ ਤੋਂ ਬੈਕਡੋਰ ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਨ ਲਈ ਕੀਤੀ ਜਾਂਦੀ ਹੈ। ਇਸ ਪਹੁੰਚ ਨੇ ਉਹਨਾਂ ਦੇ ਇਰਾਦਿਆਂ ਨੂੰ ਅਸਪਸ਼ਟ ਕਰਨ ਅਤੇ ਵਿਸ਼ਲੇਸ਼ਣ ਦੇ ਯਤਨਾਂ ਵਿੱਚ ਰੁਕਾਵਟ ਪਾਉਣ ਲਈ ਕੰਮ ਕੀਤਾ।
ਖੋਜਕਰਤਾਵਾਂ ਦੇ ਅਨੁਸਾਰ, ਚਾਰਮਿੰਗ ਕਿਟਨ ਨੇ ਜਾਣਬੁੱਝ ਕੇ ਡਿਕ੍ਰਿਪਸ਼ਨ ਵਿਧੀ ਨੂੰ ਸ਼ੁਰੂਆਤੀ ਕੋਡ ਤੋਂ ਵੱਖ ਕੀਤਾ ਅਤੇ ਇਸਨੂੰ ਡਿਸਕ 'ਤੇ ਲਿਖਣ ਤੋਂ ਬਚਿਆ। ਅਜਿਹਾ ਕਰਨ ਨਾਲ, ਉਨ੍ਹਾਂ ਨੇ ਸੰਚਾਲਨ ਸੁਰੱਖਿਆ ਦੀ ਇੱਕ ਵਾਧੂ ਪਰਤ ਜੋੜ ਦਿੱਤੀ। ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਸਰਵਰ ਤੋਂ ਡੀਕ੍ਰਿਪਸ਼ਨ ਵਿਧੀ ਨੂੰ ਡੀਕਪਲਿੰਗ ਕਰਨਾ ਸੰਬੰਧਿਤ ਪਾਵਰਸਟਾਰ ਪੇਲੋਡ ਨੂੰ ਡੀਕ੍ਰਿਪਟ ਕਰਨ ਦੀਆਂ ਭਵਿੱਖ ਦੀਆਂ ਕੋਸ਼ਿਸ਼ਾਂ ਦੇ ਵਿਰੁੱਧ ਇੱਕ ਸੁਰੱਖਿਆ ਵਜੋਂ ਕੰਮ ਕਰਦਾ ਹੈ। ਇਹ ਚਾਲ ਵਿਰੋਧੀਆਂ ਨੂੰ ਮਾਲਵੇਅਰ ਦੀ ਪੂਰੀ ਕਾਰਜਕੁਸ਼ਲਤਾ ਤੱਕ ਪਹੁੰਚਣ ਤੋਂ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਢੰਗ ਨਾਲ ਰੋਕਦੀ ਹੈ ਅਤੇ ਚਾਰਮਿੰਗ ਕਿਟਨ ਦੇ ਨਿਯੰਤਰਣ ਤੋਂ ਬਾਹਰ ਸਫਲ ਡੀਕ੍ਰਿਪਸ਼ਨ ਦੀ ਸੰਭਾਵਨਾ ਨੂੰ ਸੀਮਿਤ ਕਰਦੀ ਹੈ।
ਪਾਵਰਸਟਾਰ ਧਮਕੀ ਭਰੇ ਕਾਰਜਾਂ ਦੀ ਇੱਕ ਵਿਸ਼ਾਲ ਸ਼੍ਰੇਣੀ ਰੱਖਦਾ ਹੈ
ਪਾਵਰਸਟਾਰ ਬੈਕਡੋਰ ਸਮਰੱਥਾਵਾਂ ਦੀ ਇੱਕ ਵਿਸ਼ਾਲ ਸ਼੍ਰੇਣੀ ਦਾ ਮਾਣ ਕਰਦਾ ਹੈ ਜੋ ਇਸਨੂੰ PowerShell ਅਤੇ C# ਕਮਾਂਡਾਂ ਦੇ ਰਿਮੋਟ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਕਰਨ ਲਈ ਸਮਰੱਥ ਬਣਾਉਂਦਾ ਹੈ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਇਹ ਦ੍ਰਿੜਤਾ ਦੀ ਸਥਾਪਨਾ ਦੀ ਸਹੂਲਤ ਦਿੰਦਾ ਹੈ, ਮਹੱਤਵਪੂਰਣ ਸਿਸਟਮ ਜਾਣਕਾਰੀ ਇਕੱਠੀ ਕਰਦਾ ਹੈ, ਅਤੇ ਅਤਿਰਿਕਤ ਮੋਡੀਊਲਾਂ ਨੂੰ ਡਾਉਨਲੋਡ ਅਤੇ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਂਦਾ ਹੈ। ਇਹ ਮੋਡੀਊਲ ਵੱਖ-ਵੱਖ ਉਦੇਸ਼ਾਂ ਦੀ ਪੂਰਤੀ ਕਰਦੇ ਹਨ, ਜਿਵੇਂ ਕਿ ਚੱਲ ਰਹੀਆਂ ਪ੍ਰਕਿਰਿਆਵਾਂ ਦੀ ਗਿਣਤੀ ਕਰਨਾ, ਸਕ੍ਰੀਨਸ਼ੌਟਸ ਨੂੰ ਕੈਪਚਰ ਕਰਨਾ, ਖਾਸ ਐਕਸਟੈਂਸ਼ਨਾਂ ਵਾਲੀਆਂ ਫਾਈਲਾਂ ਦੀ ਖੋਜ ਕਰਨਾ, ਅਤੇ ਸਥਿਰਤਾ ਭਾਗਾਂ ਦੀ ਇਕਸਾਰਤਾ ਦੀ ਨਿਗਰਾਨੀ ਕਰਨਾ।
ਇਸ ਤੋਂ ਇਲਾਵਾ, ਸਫ਼ਾਈ ਮੋਡੀਊਲ ਵਿੱਚ ਪਿਛਲੇ ਸੰਸਕਰਣਾਂ ਦੇ ਮੁਕਾਬਲੇ ਮਹੱਤਵਪੂਰਨ ਸੁਧਾਰ ਅਤੇ ਵਿਸਤਾਰ ਹੋਏ ਹਨ। ਇਹ ਮੋਡੀਊਲ ਖਾਸ ਤੌਰ 'ਤੇ ਮਾਲਵੇਅਰ ਦੀ ਮੌਜੂਦਗੀ ਦੇ ਸਾਰੇ ਨਿਸ਼ਾਨਾਂ ਨੂੰ ਖਤਮ ਕਰਨ ਅਤੇ ਨਿਰੰਤਰਤਾ ਨਾਲ ਜੁੜੀਆਂ ਰਜਿਸਟਰੀ ਕੁੰਜੀਆਂ ਨੂੰ ਮਿਟਾਉਣ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ। ਇਹ ਸੁਧਾਰ ਆਪਣੀਆਂ ਤਕਨੀਕਾਂ ਨੂੰ ਸੁਧਾਰਨ ਅਤੇ ਖੋਜ ਤੋਂ ਬਚਣ ਲਈ ਚਾਰਮਿੰਗ ਕਿਟਨ ਦੀ ਨਿਰੰਤਰ ਵਚਨਬੱਧਤਾ ਨੂੰ ਦਰਸਾਉਂਦੇ ਹਨ।
ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਪਾਵਰਸਟਾਰ ਦਾ ਇੱਕ ਵੱਖਰਾ ਰੂਪ ਵੀ ਦੇਖਿਆ ਹੈ ਜੋ ਇੱਕ ਹਾਰਡ-ਕੋਡ ਵਾਲੇ C2 ਸਰਵਰ ਨੂੰ ਮੁੜ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਇੱਕ ਵੱਖਰੀ ਪਹੁੰਚ ਵਰਤਦਾ ਹੈ। ਇਹ ਰੂਪ ਵਿਕੇਂਦਰੀਕ੍ਰਿਤ ਇੰਟਰਪਲੇਨੇਟਰੀ ਫਾਈਲਸਿਸਟਮ (IPFS) 'ਤੇ ਸਟੋਰ ਕੀਤੀ ਇੱਕ ਫਾਈਲ ਨੂੰ ਡੀਕੋਡ ਕਰਕੇ ਇਸਨੂੰ ਪ੍ਰਾਪਤ ਕਰਦਾ ਹੈ। ਇਸ ਵਿਧੀ ਦਾ ਲਾਭ ਉਠਾ ਕੇ, ਚਾਰਮਿੰਗ ਕਿਟਨ ਦਾ ਟੀਚਾ ਆਪਣੇ ਹਮਲੇ ਦੇ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਦੀ ਲਚਕੀਲਾਪਣ ਨੂੰ ਵਧਾਉਣਾ ਅਤੇ ਖੋਜ ਅਤੇ ਘਟਾਉਣ ਦੇ ਉਪਾਵਾਂ ਤੋਂ ਬਚਣ ਦੀ ਸਮਰੱਥਾ ਨੂੰ ਵਧਾਉਣਾ ਹੈ।
