POWERSTAR Backdoor
The Charming Kitten, skupina, ki jo sponzorira država in je povezana z iransko Islamsko revolucionarno gardo (IRGC), je bila identificirana kot storilec za drugo ciljno kampanjo lažnega predstavljanja. Ta kampanja vključuje distribucijo posodobljene različice obsežnega backdoorja PowerShell, znanega kot POWERSTAR.
Ta najnovejša različica POWERSTAR je bila izboljšana z izboljšanimi operativnimi varnostnimi ukrepi, zaradi česar je za varnostne analitike in obveščevalne agencije znatno večji izziv analiziranje in zbiranje informacij o zlonamerni programski opremi. Ti varnostni ukrepi so zasnovani tako, da preprečujejo odkrivanje in ovirajo prizadevanja za razumevanje notranjega delovanja stranskih vrat.
Kazalo
The Charming Kitten Kibernetski kriminalci se močno zanašajo na taktike socialnega inženiringa
Akterji grožnje Charming Kitten , znani tudi pod različnimi drugimi imeni, kot so APT35, Cobalt Illusion, Mint Sandstorm (prej Phosphorus) in Yellow Garuda, so dokazali strokovnost pri uporabi tehnik socialnega inženiringa za prevaro svojih tarč. Uporabljajo prefinjene taktike, vključno z ustvarjanjem ponarejenih osebnosti na platformah družbenih medijev in vključevanjem v dolgotrajne pogovore, da bi vzpostavili zaupanje in odnos. Ko se vzpostavi odnos, strateško pošiljajo zlonamerne povezave svojim žrtvam.
Poleg svoje sposobnosti socialnega inženiringa je Charming Kitten razširil svoj arzenal tehnik vdora. Nedavni napadi, ki jih je orkestrirala skupina, so vključevali uporabo drugih vsadkov, kot sta PowerLess in BellaCiao. To kaže, da ima akter grožnje raznovrstna orodja za vohunjenje, ki jih strateško uporablja za doseganje svojih strateških ciljev. Ta vsestranskost omogoča Charming Kitten, da prilagodi svoje taktike in tehnike glede na posebne okoliščine vsake operacije.
Vektorji okužbe za zakulisnimi vrati POWERSTAR se razvijajo
V kampanji napada maja 2023 je Charming Kitten uporabil pametno strategijo za povečanje učinkovitosti zlonamerne programske opreme POWERSTAR. Da bi zmanjšali tveganje, da bi svojo slabo kodo izpostavili analizi in odkrivanju, so uvedli postopek v dveh korakih. Sprva se z geslom zaščitena datoteka RAR, ki vsebuje datoteko LNK, uporabi za začetek prenosa stranskih vrat iz Backblaze. Ta pristop je zameglil njihove namene in oviral prizadevanja za analizo.
Po mnenju raziskovalcev je Charming Kitten metodo dešifriranja namenoma ločil od začetne kode in se izognil zapisovanju na disk. S tem so dodali dodatno plast operativne varnosti. Ločitev metode dešifriranja od strežnika Command-and-Control (C2) služi kot zaščita pred prihodnjimi poskusi dešifriranja ustreznega tovora POWERSTAR. Ta taktika učinkovito preprečuje nasprotnikom dostop do celotne funkcionalnosti zlonamerne programske opreme in omejuje možnost uspešnega dešifriranja zunaj nadzora Charming Kitten.
POWERSTAR ima široko paleto nevarnih funkcij
Zadnja vrata POWERSTAR se ponašajo z obsežnim naborom zmogljivosti, ki mu omogočajo oddaljeno izvajanje ukazov PowerShell in C#. Poleg tega olajša vzpostavitev obstojnosti, zbira vitalne sistemske informacije ter omogoča prenos in izvajanje dodatnih modulov. Ti moduli služijo različnim namenom, kot so naštevanje izvajajočih se procesov, zajemanje posnetkov zaslona, iskanje datotek s posebnimi končnicami in spremljanje celovitosti komponent obstojnosti.
Poleg tega je bil modul za čiščenje v primerjavi s prejšnjimi različicami precej izboljšan in razširjen. Ta modul je posebej zasnovan za odstranjevanje vseh sledi prisotnosti zlonamerne programske opreme in izkoreninjenje registrskih ključev, povezanih z obstojnostjo. Te izboljšave kažejo na stalno zavezanost Charming Kitten izboljšanju svojih tehnik in izogibanju odkrivanju.
Raziskovalci so opazili tudi drugačno različico POWERSTAR, ki uporablja poseben pristop za pridobivanje trdo kodiranega strežnika C2. Ta različica to doseže z dekodiranjem datoteke, shranjene v decentraliziranem medplanetarnem datotečnem sistemu (IPFS). Z uporabo te metode želi Charming Kitten povečati odpornost svoje napadalne infrastrukture in izboljšati svojo sposobnost izogibanja ukrepom za odkrivanje in ublažitev.
