POWERSTAR Arka Kapı
İran'ın İslam Devrim Muhafızları Kolordusu'na (IRGC) bağlı devlet destekli bir grup olan Charming Kitten, hedefli bir başka hedefli kimlik avı kampanyasının arkasındaki fail olarak belirlendi. Bu kampanya, POWERSTAR olarak bilinen kapsamlı bir PowerShell arka kapısının güncellenmiş bir varyantının dağıtımını içerir.
POWERSTAR'ın bu son sürümü, güvenlik analistleri ve istihbarat teşkilatlarının kötü amaçlı yazılım hakkında bilgi toplamasını ve analiz etmesini önemli ölçüde zorlaştıran iyileştirilmiş operasyonel güvenlik önlemleriyle geliştirilmiştir. Bu güvenlik önlemleri, algılamayı engellemek ve arka kapının iç işleyişini anlama çabalarını engellemek için tasarlanmıştır.
İçindekiler
Charming Kitten Siber Suçlular Büyük Bir Şekilde Sosyal Mühendislik Taktiklerine Güveniyor
APT35, Cobalt Illusion, Mint Sandstorm (eski adıyla Phosphorus) ve Yellow Garuda gibi diğer isimlerle de bilinen Charming Kitten tehdit aktörleri, hedeflerini aldatmak için sosyal mühendislik tekniklerinden yararlanma konusunda uzmanlık sergilediler. Sosyal medya platformlarında özel sahte karakterler oluşturmak ve güven ve yakınlık kurmak için uzun süreli konuşmalar yapmak dahil olmak üzere sofistike taktikler kullanıyorlar. Bir ilişki kurulduktan sonra kurbanlarına stratejik olarak kötü amaçlı bağlantılar gönderirler.
Charming Kitten, sosyal mühendislik becerisine ek olarak izinsiz giriş teknikleri cephaneliğini genişletti. Grup tarafından düzenlenen son saldırılar, PowerLess ve BellaCiao gibi diğer implantların konuşlandırılmasını içeriyordu. Bu, tehdit aktörünün çeşitli casusluk araçlarına sahip olduğunu ve bunları stratejik hedeflerine ulaşmak için stratejik olarak kullandığını gösterir. Bu çok yönlülük, Charming Kitten'ın taktiklerini ve tekniklerini her operasyonun özel koşullarına göre uyarlamasını sağlar.
POWERSTAR Arka Kapı Enfeksiyon Vektörleri Gelişiyor
Charming Kitten, Mayıs 2023 saldırı kampanyasında POWERSTAR kötü amaçlı yazılımının etkinliğini artırmak için akıllı bir strateji kullandı. Hatalı kodlarını analiz ve tespite maruz bırakma riskini azaltmak için iki adımlı bir süreç uyguladılar. Başlangıçta, Backblaze'den arka kapının indirilmesini başlatmak için bir LNK dosyası içeren parola korumalı bir RAR dosyası kullanılır. Bu yaklaşım, niyetlerini gizlemeye ve analiz çabalarını engellemeye hizmet etti.
Araştırmacılara göre, Charming Kitten kasıtlı olarak şifre çözme yöntemini ilk koddan ayırdı ve bunu diske yazmaktan kaçındı. Bunu yaparak, ekstra bir operasyonel güvenlik katmanı eklediler. Şifre çözme yönteminin Komuta ve Kontrol (C2) sunucusundan ayrılması, karşılık gelen POWERSTAR yükünün şifresini çözmeye yönelik gelecekteki girişimlere karşı bir koruma görevi görür. Bu taktik, rakiplerin kötü amaçlı yazılımın tüm işlevlerine erişmesini etkili bir şekilde engeller ve Charming Kitten'ın kontrolü dışında başarılı şifre çözme potansiyelini sınırlar.
POWERSTAR Çok Çeşitli Tehdit İşlevleri Taşır
POWERSTAR arka kapısı, PowerShell ve C# komutlarının uzaktan yürütülmesini sağlayan çok çeşitli yeteneklere sahiptir. Ek olarak, kalıcılığın kurulmasını kolaylaştırır, hayati sistem bilgilerini toplar ve ek modüllerin indirilmesini ve çalıştırılmasını sağlar. Bu modüller, çalışan işlemleri numaralandırmak, ekran görüntüleri yakalamak, belirli uzantılara sahip dosyaları aramak ve kalıcılık bileşenlerinin bütünlüğünü izlemek gibi çeşitli amaçlara hizmet eder.
Ayrıca, temizleme modülü, önceki sürümlere kıyasla önemli iyileştirmeler ve genişletmeler geçirdi. Bu modül, kötü amaçlı yazılımın varlığının tüm izlerini ortadan kaldırmak ve kalıcılıkla ilişkili kayıt defteri anahtarlarını ortadan kaldırmak için özel olarak tasarlanmıştır. Bu iyileştirmeler, Charming Kitten'ın tekniklerini geliştirmeye ve tespitten kaçınmaya yönelik devam eden kararlılığını göstermektedir.
Araştırmacılar ayrıca, sabit kodlu bir C2 sunucusunu almak için farklı bir yaklaşım kullanan farklı bir POWERSTAR varyantını gözlemlediler. Bu varyant, merkezi olmayan Gezegenler Arası Dosya Sisteminde (IPFS) depolanan bir dosyanın kodunu çözerek bunu başarır. Charming Kitten, bu yöntemi kullanarak saldırı altyapısının dayanıklılığını artırmayı ve tespit ve hafifletme önlemlerinden kaçınma yeteneğini geliştirmeyi amaçlıyor.
