Zadní vrátka POWERSTAR
The Charming Kitten, státem podporovaná skupina napojená na íránské islámské revoluční gardy (IRGC), byla identifikována jako pachatel za další cílenou spear-phishingovou kampaní. Tato kampaň zahrnuje distribuci aktualizované varianty komplexního backdoor PowerShell známého jako POWERSTAR.
Tato nejnovější verze POWERSTAR byla vylepšena o vylepšená provozní bezpečnostní opatření, takže je pro bezpečnostní analytiky a zpravodajské agentury podstatně náročnější analyzovat a shromažďovat informace o malwaru. Tato bezpečnostní opatření jsou navržena tak, aby zmařila detekci a bránila snaze porozumět vnitřnímu fungování zadních vrátek.
Obsah
Kyberzločinci z Okouzlujícího kotěte silně spoléhají na taktiku sociálního inženýrství
Aktéři hrozeb Charming Kitten , známí také pod různými jinými jmény, jako je APT35, Cobalt Illusion, Mint Sandstorm (dříve Phosphorus) a Yellow Garuda, prokázali své odborné znalosti ve využívání technik sociálního inženýrství ke klamání svých cílů. Používají sofistikované taktiky, včetně vytváření vlastních falešných osobností na platformách sociálních médií a zapojování se do dlouhodobých konverzací, aby navázali důvěru a vztah. Jakmile je navázán vztah, strategicky posílají svým obětem škodlivé odkazy.
Kromě svých schopností sociálního inženýrství rozšířilo okouzlující kotě svůj arzenál intruzivních technik. Nedávné útoky organizované skupinou zahrnovaly nasazení dalších implantátů, jako jsou PowerLess a BellaCiao. To naznačuje, že aktér ohrožení vlastní rozmanitou škálu špionážních nástrojů, které je strategicky využívá k dosažení svých strategických cílů. Tato všestrannost umožňuje Charming Kitten přizpůsobit jejich taktiku a techniky podle konkrétních okolností každé operace.
Infekční vektory POWERSTAR Backdoor se vyvíjejí
V útočné kampani v květnu 2023 použilo Charming Kitten chytrou strategii ke zvýšení účinnosti malwaru POWERSTAR. Aby zmírnili riziko vystavení jejich špatného kódu analýze a detekci, implementovali dvoufázový proces. Zpočátku se k zahájení stahování zadních vrátek z Backblaze používá soubor RAR chráněný heslem obsahující soubor LNK. Tento přístup posloužil k zamlžení jejich záměrů a ztížení analytického úsilí.
Podle výzkumníků Charming Kitten záměrně oddělil metodu dešifrování od počátečního kódu a vyhnul se zápisu na disk. Tím přidali další vrstvu provozního zabezpečení. Oddělení metody dešifrování od serveru Command-and-Control (C2) slouží jako ochrana proti budoucím pokusům o dešifrování odpovídajícího užitečného zatížení POWERSTAR. Tato taktika účinně brání protivníkům v přístupu k plné funkčnosti malwaru a omezuje potenciál pro úspěšné dešifrování mimo kontrolu Charming Kitten.
POWERSTAR disponuje širokou škálou ohrožujících funkcí
Backdoor POWERSTAR se může pochlubit širokou škálou schopností, které mu umožňují provádět vzdálené provádění příkazů PowerShell a C#. Kromě toho usnadňuje vytvoření stálosti, shromažďuje důležité systémové informace a umožňuje stahování a spouštění dalších modulů. Tyto moduly slouží k různým účelům, jako je výčet běžících procesů, pořizování snímků obrazovky, vyhledávání souborů se specifickými příponami a sledování integrity komponent persistence.
Kromě toho modul čištění prošel významnými vylepšeními a rozšířeními ve srovnání s předchozími verzemi. Tento modul je speciálně navržen tak, aby eliminoval všechny stopy přítomnosti malwaru a vymýtil klíče registru spojené s perzistencí. Tato vylepšení demonstrují pokračující závazek Charming Kitten zdokonalovat své techniky a vyhýbat se detekci.
Výzkumníci také pozorovali jinou variantu POWERSTAR, která využívá odlišný přístup k načtení pevně zakódovaného serveru C2. Tato varianta toho dosahuje dekódováním souboru uloženého na decentralizovaném meziplanetárním souborovém systému (IPFS). Využitím této metody se Charming Kitten snaží posílit odolnost své útočné infrastruktury a zlepšit její schopnost vyhýbat se detekčním a zmírňujícím opatřením.
