Бэкдор POWERSTAR
«Очаровательный котенок», спонсируемая государством группа, связанная с иранским Корпусом стражей исламской революции (КСИР), была идентифицирована как преступник, стоящий за очередной целевой фишинговой кампанией. Эта кампания включает в себя распространение обновленного варианта комплексного бэкдора PowerShell, известного как POWERSTAR.
Эта последняя версия POWERSTAR дополнена улучшенными мерами оперативной безопасности, что значительно усложняет анализ и сбор информации о вредоносных программах для аналитиков безопасности и разведывательных служб. Эти меры безопасности предназначены для того, чтобы помешать обнаружению и помешать попыткам понять внутреннюю работу бэкдора.
Оглавление
Киберпреступники «Очаровательный котенок» в значительной степени полагаются на тактику социальной инженерии
Субъекты угрозы Charming Kitten , также известные под другими именами, такими как APT35, Cobalt Illusion, Mint Sandstorm (ранее Phosphorus) и Yellow Garuda, продемонстрировали опыт использования методов социальной инженерии для обмана своих целей. Они используют изощренную тактику, в том числе создание нестандартных поддельных персонажей в социальных сетях и участие в длительных беседах для установления доверия и взаимопонимания. Как только отношения установлены, они стратегически рассылают вредоносные ссылки своим жертвам.
В дополнение к своему мастерству социальной инженерии, Charming Kitten расширил свой арсенал методов вторжения. Недавние атаки, организованные группой, включали развертывание других имплантатов, таких как PowerLess и BellaCiao. Это указывает на то, что субъект угрозы обладает разнообразными инструментами шпионажа и стратегически использует их для достижения своих стратегических целей. Эта универсальность позволяет Очаровательному котенку адаптировать свою тактику и приемы в соответствии с конкретными обстоятельствами каждой операции.
Векторы заражения бэкдором POWERSTAR развиваются
В кампании атак в мае 2023 года Очаровательный котенок применил умную стратегию для повышения эффективности вредоносного ПО POWERSTAR. Чтобы снизить риск того, что их плохой код подвергнется анализу и обнаружению, они внедрили двухэтапный процесс. Первоначально для загрузки бэкдора из Backblaze используется защищенный паролем файл RAR, содержащий файл LNK. Такой подход запутывал их намерения и препятствовал проведению анализа.
По мнению исследователей, Очаровательный котенок намеренно отделил метод расшифровки от исходного кода и избегал записи его на диск. Тем самым они добавили дополнительный уровень операционной безопасности. Отделение метода расшифровки от сервера управления и контроля (C2) служит защитой от будущих попыток расшифровать соответствующую полезную нагрузку POWERSTAR. Эта тактика эффективно предотвращает доступ злоумышленников к полной функциональности вредоносного ПО и ограничивает возможность успешного дешифрования вне контроля Charming Kitten.
POWERSTAR выполняет широкий спектр угрожающих функций
Бэкдор POWERSTAR может похвастаться широким спектром возможностей, позволяющих удаленно выполнять команды PowerShell и C#. Кроме того, он облегчает создание постоянства, собирает важную системную информацию и позволяет загружать и выполнять дополнительные модули. Эти модули служат различным целям, таким как перечисление запущенных процессов, создание снимков экрана, поиск файлов с определенными расширениями и контроль целостности компонентов сохраняемости.
Кроме того, модуль очистки претерпел значительные улучшения и расширения по сравнению с предыдущими версиями. Этот модуль специально разработан для устранения всех следов присутствия вредоносного ПО и уничтожения ключей реестра, связанных с сохраняемостью. Эти усовершенствования демонстрируют постоянное стремление Charming Kitten совершенствовать свои методы и избегать обнаружения.
Исследователи также наблюдали другой вариант POWERSTAR, в котором используется другой подход для извлечения жестко запрограммированного сервера C2. В этом варианте это достигается за счет декодирования файла, хранящегося в децентрализованной межпланетной файловой системе (IPFS). Используя этот метод, Charming Kitten стремится укрепить устойчивость своей инфраструктуры атак и повысить ее способность уклоняться от обнаружения и мер по смягчению последствий.
