POWERSTAR Backdoor
O Charming Kitten, um grupo patrocinado pelo Estado ligado ao Corpo da Guarda Revolucionária Islâmica do Irã (IRGC), foi identificado como o autor de outra campanha direcionada de spear phishing. Esta campanha envolve a distribuição de uma variante atualizada de um backdoor abrangente do PowerShell conhecido como POWERSTAR.
Esta versão mais recente do POWERSTAR foi aprimorada com medidas de segurança operacional aprimoradas, tornando consideravelmente mais desafiador para analistas de segurança e agências de inteligência analisar e coletar informações sobre o malware. Essas medidas de segurança são projetadas para impedir a detecção e dificultar os esforços para entender o funcionamento interno do backdoor.
Índice
Os Cibercriminosos do Charming Kitten Confiam Fortemente nas Táticas de Engenharia Social
Os atores de ameaças Charming Kitten , também conhecidos por vários outros nomes, como APT35, Cobalt Illusion, Mint Sandstorm (anteriormente Phosphorus) e Yellow Garuda, demonstraram experiência em alavancar técnicas de engenharia social para enganar seus alvos. Eles empregam táticas sofisticadas, incluindo a criação de personas falsas personalizadas em plataformas de mídia social e o envolvimento em conversas prolongadas para estabelecer confiança e relacionamento. Depois que um relacionamento é estabelecido, eles enviam estrategicamente links maliciosos para suas vítimas.
Além de suas proezas de engenharia social, o Charming Kitten expandiu seu arsenal de técnicas de invasão. Ataques recentes orquestrados pelo grupo envolveram a implantação de outros implantes, como PowerLess e BellaCiao. Isso indica que o agente da ameaça possui uma gama diversificada de ferramentas de espionagem, utilizando-as estrategicamente para atingir seus objetivos estratégicos. Essa versatilidade permite que o Charming Kitten adapte suas táticas e técnicas de acordo com as circunstâncias específicas de cada operação.
Os Vetores de Infecção pelo POWERSTAR Backdoor estão Evoluindo
Na campanha de ataque de maio de 2023, o Charming Kitten empregou uma estratégia inteligente para aumentar a eficácia do malware POWERSTAR. Para mitigar o risco de expor seu código ruim para análise e detecção, eles implementaram um processo de duas etapas. Inicialmente, um arquivo RAR protegido por senha contendo um arquivo LNK é utilizado para iniciar o download do backdoor do Backblaze. Essa abordagem serviu para ofuscar suas intenções e impedir os esforços de análise.
Segundo os pesquisadores, o Charming Kitten separou intencionalmente o método de descriptografia do código inicial e evitou gravá-lo no disco. Ao fazer isso, eles adicionaram uma camada extra de segurança operacional. A dissociação do método de descriptografia do servidor Command-and-Control (C2) serve como uma proteção contra futuras tentativas de descriptografar a carga útil POWERSTAR correspondente. Essa tática impede efetivamente que os adversários acessem todas as funcionalidades do malware e limita o potencial de descriptografia bem-sucedida fora do controle do Charming Kitten.
O POWERSTAR Carrega uma Ampla Gama de Funções Ameaçadoras
O backdoor POWERSTAR possui uma ampla gama de recursos que o capacitam a conduzir a execução remota de comandos PowerShell e C#. Além disso, facilita o estabelecimento de persistência, coleta informações vitais do sistema e permite o download e a execução de módulos adicionais. Esses módulos atendem a vários propósitos, como enumerar processos em execução, capturar capturas de tela, procurar arquivos com extensões específicas e monitorar a integridade dos componentes de persistência.
Além disso, o módulo de limpeza passou por melhorias e expansões significativas em relação às versões anteriores. Este módulo foi projetado especificamente para eliminar todos os vestígios da presença do malware e erradicar as chaves de registro associadas à persistência. Essas melhorias demonstram o compromisso contínuo da Charming Kitten em refinar suas técnicas e evitar a detecção.
Os pesquisadores também observaram uma variante diferente do POWERSTAR que emprega uma abordagem distinta para recuperar um servidor C2 embutido em código. Essa variante consegue isso decodificando um arquivo armazenado no sistema de arquivos interplanetário descentralizado (IPFS). Ao aproveitar esse método, o Charming Kitten visa reforçar a resiliência de sua infraestrutura de ataque e aprimorar sua capacidade de evitar medidas de detecção e mitigação.
