Zadné dvierka POWERSTAR
Šarmantné mačiatko, štátom podporovaná skupina napojená na iránske Islamské revolučné gardy (IRGC), bola identifikovaná ako páchateľ ďalšej cielenej kampane typu spear-phishing. Táto kampaň zahŕňa distribúciu aktualizovaného variantu komplexného backdoor PowerShell známeho ako POWERSTAR.
Táto najnovšia verzia POWERSTAR bola vylepšená o vylepšené prevádzkové bezpečnostné opatrenia, vďaka čomu je pre bezpečnostných analytikov a spravodajské agentúry podstatne náročnejšie analyzovať a zhromažďovať informácie o malvéri. Tieto bezpečnostné opatrenia sú navrhnuté tak, aby zmarili detekciu a zabránili úsiliu pochopiť vnútorné fungovanie zadných vrátok.
Obsah
Kyberzločinci so šarmantným mačiatkom sa vo veľkej miere spoliehajú na taktiku sociálneho inžinierstva
Herci hrozieb Charming Kitten , známi aj pod rôznymi inými menami, ako napríklad APT35, Cobalt Illusion, Mint Sandstorm (predtým Phosphorus) a Yellow Garuda, preukázali odborné znalosti v oblasti využívania techník sociálneho inžinierstva na oklamanie svojich cieľov. Používajú sofistikované taktiky vrátane vytvárania vlastných falošných osôb na platformách sociálnych médií a zapájania sa do dlhých rozhovorov s cieľom nadviazať dôveru a vzťah. Po nadviazaní vzťahu strategicky posielajú svojim obetiam škodlivé odkazy.
Okrem svojich schopností v oblasti sociálneho inžinierstva, Charming Kitten rozšírilo svoj arzenál intruzívnych techník. Nedávne útoky organizované skupinou zahŕňali nasadenie iných implantátov, ako sú PowerLess a BellaCiao. To naznačuje, že aktér ohrozenia vlastní rozmanitú škálu špionážnych nástrojov, ktoré ich strategicky využíva na dosiahnutie svojich strategických cieľov. Táto všestrannosť umožňuje šarmantnému mačiatku prispôsobiť svoju taktiku a techniky podľa špecifických okolností každej operácie.
Infekčné vektory POWERSTAR Backdoor sa vyvíjajú
V útočnej kampani v máji 2023 použilo Charming Kitten šikovnú stratégiu na zvýšenie účinnosti malvéru POWERSTAR. Aby sa znížilo riziko vystavenia ich zlého kódu analýze a detekcii, implementovali dvojkrokový proces. Spočiatku sa na sťahovanie backdoor z Backblaze používa súbor RAR chránený heslom obsahujúci súbor LNK. Tento prístup poslúžil na zahmlievanie ich zámerov a znemožnenie analytického úsilia.
Očarujúce mačiatko podľa výskumníkov zámerne oddelilo metódu dešifrovania od počiatočného kódu a vyhýbalo sa zápisu na disk. Tým pridali ďalšiu vrstvu prevádzkového zabezpečenia. Oddelenie metódy dešifrovania od servera Command-and-Control (C2) slúži ako ochrana pred budúcimi pokusmi o dešifrovanie zodpovedajúceho užitočného zaťaženia POWERSTAR. Táto taktika účinne bráni protivníkom v prístupe k plnej funkčnosti malvéru a obmedzuje potenciál úspešného dešifrovania mimo kontroly Charming Kitten.
POWERSTAR obsahuje širokú škálu hroziacich funkcií
Zadné vrátka POWERSTAR sa môžu pochváliť širokou škálou možností, ktoré mu umožňujú vykonávať vzdialené vykonávanie príkazov PowerShell a C#. Okrem toho uľahčuje vytvorenie perzistencie, zhromažďuje dôležité systémové informácie a umožňuje sťahovanie a spúšťanie ďalších modulov. Tieto moduly slúžia na rôzne účely, ako je napríklad vymenovanie spustených procesov, zachytenie snímok obrazovky, vyhľadávanie súborov so špecifickými príponami a monitorovanie integrity komponentov perzistencie.
Okrem toho čistiaci modul prešiel v porovnaní s predchádzajúcimi verziami významnými vylepšeniami a rozšíreniami. Tento modul je špeciálne navrhnutý tak, aby eliminoval všetky stopy prítomnosti škodlivého softvéru a odstránil kľúče registra spojené s pretrvávaním. Tieto vylepšenia demonštrujú neustály záväzok spoločnosti Charming Kitten zdokonaľovať svoje techniky a vyhýbať sa detekcii.
Výskumníci tiež pozorovali iný variant POWERSTAR, ktorý využíva odlišný prístup na získanie pevne zakódovaného servera C2. Tento variant to dosahuje dekódovaním súboru uloženého na decentralizovanom medziplanetárnom súborovom systéme (IPFS). Využitím tejto metódy sa Charming Kitten snaží posilniť odolnosť svojej útočnej infraštruktúry a zlepšiť jej schopnosť vyhnúť sa detekcii a opatreniam na zmiernenie.
