باب خلفي POWERSTAR

تم التعرف على The Charming Kitten ، وهي مجموعة ترعاها الدولة مرتبطة بالحرس الثوري الإسلامي الإيراني (IRGC) ، على أنها الجاني وراء حملة تصيد احتيالي أخرى مستهدفة. تتضمن هذه الحملة توزيع متغير محدث من باب خلفي PowerShell شامل يُعرف باسم POWERSTAR.

تم تحسين هذا الإصدار الأخير من POWERSTAR من خلال إجراءات أمان تشغيلية محسّنة ، مما يجعل الأمر أكثر صعوبة لمحللي الأمن ووكالات الاستخبارات لتحليل وجمع المعلومات حول البرامج الضارة. تم تصميم هذه التدابير الأمنية لإحباط الكشف وإعاقة الجهود المبذولة لفهم الأعمال الداخلية للباب الخلفي.

يعتمد مجرمو الإنترنت الساحرون بشدة على تكتيكات الهندسة الاجتماعية

لقد أظهر ممثلو The Charming Kitten ، المعروفين أيضًا بأسماء أخرى مختلفة مثل APT35 و Cobalt Illusion و Mint Sandstorm (الفوسفور سابقًا) و Yellow Garuda ، خبرتهم في الاستفادة من تقنيات الهندسة الاجتماعية لخداع أهدافهم. يستخدمون تكتيكات متطورة ، بما في ذلك إنشاء شخصيات مزيفة مخصصة على منصات التواصل الاجتماعي والانخراط في محادثات مطولة لبناء الثقة والألفة. بمجرد إنشاء علاقة ، يرسلون بشكل استراتيجي روابط ضارة إلى ضحاياهم.

بالإضافة إلى براعة الهندسة الاجتماعية ، وسعت Charming Kitten ترسانتها من تقنيات التسلل. تضمنت الهجمات الأخيرة التي دبرتها الجماعة نشر غرسات أخرى ، مثل PowerLess و BellaCiao. يشير هذا إلى أن الفاعل المهدد يمتلك مجموعة متنوعة من أدوات التجسس ، ويستخدمها بشكل استراتيجي لتحقيق أهدافه الاستراتيجية. هذا التنوع يسمح لـ Charming Kitten بتكييف تكتيكاتها وتقنياتها وفقًا للظروف المحددة لكل عملية.

نواقل عدوى الباب الخلفي POWERSTAR آخذة في التطور

في حملة هجوم مايو 2023 ، استخدمت Charming Kitten إستراتيجية ذكية لتعزيز فعالية برنامج POWERSTAR الضار. للتخفيف من مخاطر تعريض التعليمات البرمجية السيئة للتحليل والكشف ، نفذوا عملية من خطوتين. في البداية ، يتم استخدام ملف RAR محمي بكلمة مرور يحتوي على ملف LNK لبدء تنزيل الباب الخلفي من Backblaze. وقد أدى هذا النهج إلى التعتيم على نواياهم وإعاقة جهود التحليل.

وفقًا للباحثين ، قامت Charming Kitten بفصل طريقة فك التشفير عن الكود الأولي وتجنب كتابتها على القرص. من خلال القيام بذلك ، أضافوا طبقة إضافية من الأمان التشغيلي. يُعد فصل طريقة فك التشفير من خادم الأوامر والتحكم (C2) بمثابة حماية ضد المحاولات المستقبلية لفك تشفير حمولة POWERSTAR المقابلة. يمنع هذا التكتيك بشكل فعال الخصوم من الوصول إلى الوظائف الكاملة للبرامج الضارة ويحد من إمكانية فك التشفير الناجح خارج سيطرة Charming Kitten.

يحمل POWERSTAR مجموعة كبيرة من وظائف التهديد

يتميز الباب الخلفي POWERSTAR بمجموعة واسعة من القدرات التي تمكنه من تنفيذ أوامر PowerShell و C # عن بُعد. بالإضافة إلى ذلك ، فإنه يسهل إنشاء المثابرة ، ويجمع معلومات النظام الحيوية ، ويتيح تنزيل وتنفيذ وحدات إضافية. تخدم هذه الوحدات النمطية أغراضًا مختلفة ، مثل تعداد العمليات الجارية ، والتقاط لقطات الشاشة ، والبحث عن الملفات ذات الامتدادات المحددة ، ومراقبة سلامة مكونات الثبات.

علاوة على ذلك ، خضعت وحدة التنظيف إلى تحسينات وتوسعات كبيرة مقارنة بالإصدارات السابقة. تم تصميم هذه الوحدة خصيصًا لإزالة جميع آثار وجود البرامج الضارة والقضاء على مفاتيح التسجيل المرتبطة بالثبات. تُظهر هذه التحسينات التزام Charming Kitten المستمر بتحسين تقنياتها وتجنب الاكتشاف.

لاحظ الباحثون أيضًا متغيرًا مختلفًا من POWERSTAR يستخدم نهجًا متميزًا لاسترداد خادم C2 ذي الترميز الثابت. يحقق هذا المتغير ذلك عن طريق فك تشفير ملف مخزن على نظام الملفات اللامركزي InterPlanetary Files System (IPFS). من خلال الاستفادة من هذه الطريقة ، تهدف Charming Kitten إلى تعزيز مرونة بنيتها التحتية للهجوم وتعزيز قدرتها على التهرب من إجراءات الكشف والتخفيف.