POWERSTAR Backdoor
The Charming Kitten, sponsorowana przez państwo grupa powiązana z irańskim Korpusem Strażników Rewolucji Islamskiej (IRGC), została zidentyfikowana jako sprawca innej ukierunkowanej kampanii phishingu. Ta kampania obejmuje dystrybucję zaktualizowanego wariantu wszechstronnego backdoora PowerShell znanego jako POWERSTAR.
Ta najnowsza wersja POWERSTAR została wzbogacona o ulepszone środki bezpieczeństwa operacyjnego, co znacznie utrudnia analitykom bezpieczeństwa i agencjom wywiadowczym analizowanie i gromadzenie informacji o złośliwym oprogramowaniu. Te środki bezpieczeństwa mają na celu udaremnienie wykrycia i utrudnianie zrozumienia wewnętrznego działania backdoora.
Spis treści
Czarujący kotek Cyberprzestępcy w dużym stopniu polegają na taktykach inżynierii społecznej
Aktorzy cyberprzestępczy Charming Kitten , znani również pod różnymi innymi nazwami, takimi jak APT35, Cobalt Illusion, Mint Sandstorm (dawniej Phosphorus) i Yellow Garuda, wykazali się specjalistyczną wiedzą w zakresie wykorzystywania technik socjotechnicznych do oszukiwania swoich celów. Stosują wyrafinowane taktyki, w tym tworzenie niestandardowych fałszywych postaci na platformach mediów społecznościowych i angażowanie się w długotrwałe rozmowy w celu zbudowania zaufania i porozumienia. Po nawiązaniu relacji strategicznie wysyłają złośliwe linki do swoich ofiar.
Oprócz umiejętności inżynierii społecznej, Czarujący Kociak rozszerzył swój arsenał technik włamań. Ostatnie ataki zorganizowane przez grupę obejmowały rozmieszczenie innych implantów, takich jak PowerLess i BellaCiao. Wskazuje to, że cyberprzestępca dysponuje różnorodną gamą narzędzi szpiegowskich i wykorzystuje je strategicznie do osiągnięcia swoich celów strategicznych. Ta wszechstronność pozwala Czarującemu Kociakowi dostosować taktykę i technikę do konkretnych okoliczności każdej operacji.
Wektory infekcji backdoorem POWERSTAR ewoluują
W kampanii ataków z maja 2023 r. Charming Kitten zastosował sprytną strategię w celu zwiększenia skuteczności szkodliwego oprogramowania POWERSTAR. Aby ograniczyć ryzyko wystawienia złego kodu na analizę i wykrycie, wdrożyli dwuetapowy proces. Początkowo chroniony hasłem plik RAR zawierający plik LNK jest wykorzystywany do zainicjowania pobierania backdoora z Backblaze. Takie podejście służyło zaciemnieniu ich intencji i utrudniało analizę.
Według naukowców Charming Kitten celowo oddzielił metodę deszyfrowania od początkowego kodu i unikał zapisywania go na dysku. W ten sposób dodali dodatkową warstwę bezpieczeństwa operacyjnego. Oddzielenie metody deszyfrowania od serwera Command-and-Control (C2) służy jako zabezpieczenie przed przyszłymi próbami odszyfrowania odpowiedniego ładunku POWERSTAR. Ta taktyka skutecznie uniemożliwia adwersarzom dostęp do pełnej funkcjonalności szkodliwego oprogramowania i ogranicza możliwość pomyślnego odszyfrowania poza kontrolą Charming Kitten.
POWERSTAR niesie ze sobą szeroki zakres groźnych funkcji
Backdoor POWERSTAR oferuje szeroki zakres możliwości, które umożliwiają zdalne wykonywanie poleceń PowerShell i C#. Dodatkowo ułatwia ustanowienie trwałości, zbiera istotne informacje systemowe oraz umożliwia pobieranie i uruchamianie dodatkowych modułów. Moduły te służą różnym celom, takim jak wyliczanie uruchomionych procesów, przechwytywanie zrzutów ekranu, wyszukiwanie plików z określonymi rozszerzeniami i monitorowanie integralności komponentów trwałości.
Ponadto moduł czyszczenia przeszedł znaczące ulepszenia i rozszerzenia w porównaniu z poprzednimi wersjami. Ten moduł został specjalnie zaprojektowany, aby wyeliminować wszelkie ślady obecności złośliwego oprogramowania i usunąć klucze rejestru związane z uporczywością. Te ulepszenia pokazują ciągłe zaangażowanie Charming Kitten w doskonalenie swoich technik i unikanie wykrycia.
Naukowcy zaobserwowali również inny wariant POWERSTAR, który wykorzystuje odrębne podejście do odzyskiwania zakodowanego na stałe serwera C2. Ten wariant osiąga to poprzez dekodowanie pliku przechowywanego w zdecentralizowanym międzyplanetarnym systemie plików (IPFS). Wykorzystując tę metodę, Charming Kitten ma na celu zwiększenie odporności swojej infrastruktury atakującej i zwiększenie jej zdolności do unikania środków wykrywania i ograniczania zagrożeń.
