POWERSTAR bagdør
The Charming Kitten, en statssponsoreret gruppe knyttet til Irans Islamiske Revolutionsgarde (IRGC), er blevet identificeret som gerningsmanden bag en anden målrettet spyd-phishing-kampagne. Denne kampagne involverer distribution af en opdateret variant af en omfattende PowerShell-bagdør kendt som POWERSTAR.
Denne seneste version af POWERSTAR er blevet forbedret med forbedrede operationelle sikkerhedsforanstaltninger, hvilket gør det betydeligt mere udfordrende for sikkerhedsanalytikere og efterretningsbureauer at analysere og indsamle oplysninger om malwaren. Disse sikkerhedsforanstaltninger er designet til at forhindre opdagelse og hindre bestræbelser på at forstå bagdørens indre funktion.
Indholdsfortegnelse
De charmerende killing-cyberkriminelle er stærkt afhængige af social ingeniør-taktik
Trusselsaktørerne fra Charming Kitten , også kendt under forskellige andre navne såsom APT35, Cobalt Illusion, Mint Sandstorm (tidligere Phosphorus) og Yellow Garuda, har demonstreret ekspertise i at udnytte sociale ingeniørteknikker til at bedrage deres mål. De anvender sofistikerede taktikker, herunder oprettelse af brugerdefinerede falske personas på sociale medieplatforme og engagerer sig i længerevarende samtaler for at skabe tillid og rapport. Når et forhold er etableret, sender de strategisk ondsindede links til deres ofre.
Ud over sin sociale ingeniørevne har den charmerende killing udvidet sit arsenal af indtrængningsteknikker. De seneste angreb orkestreret af gruppen har involveret indsættelse af andre implantater, såsom PowerLess og BellaCiao. Dette indikerer, at trusselsaktøren besidder en bred vifte af spionageværktøjer, som bruger dem strategisk til at nå deres strategiske mål. Denne alsidighed gør det muligt for den charmerende killing at tilpasse deres taktik og teknikker til de specifikke omstændigheder ved hver operation.
POWERSTAR-bagdørsinfektionsvektorer er under udvikling
I maj 2023-angrebskampagnen brugte Charming Kitten en smart strategi for at forbedre effektiviteten af POWERSTAR-malwaren. For at mindske risikoen for at udsætte deres dårlige kode for analyse og detektion, implementerede de en to-trins proces. Indledningsvis bruges en adgangskodebeskyttet RAR-fil indeholdende en LNK-fil til at starte download af bagdøren fra Backblaze. Denne tilgang tjente til at sløre deres hensigter og hindre analyseindsatsen.
Ifølge forskere adskilte den charmerende killing med vilje dekrypteringsmetoden fra den oprindelige kode og undgik at skrive den til disk. Ved at gøre det tilføjede de et ekstra lag af driftssikkerhed. Afkoblingen af dekrypteringsmetoden fra Command-and-Control-serveren (C2) tjener som en beskyttelse mod fremtidige forsøg på at dekryptere den tilsvarende POWERSTAR-nyttelast. Denne taktik forhindrer effektivt modstandere i at få adgang til den fulde funktionalitet af malwaren og begrænser potentialet for vellykket dekryptering uden for Charming Kittens kontrol.
POWERSTAR har en bred vifte af truende funktioner
POWERSTAR-bagdøren kan prale af en omfattende række af muligheder, der gør den i stand til at udføre fjernudførelse af PowerShell- og C#-kommandoer. Derudover letter det etableringen af persistens, indsamler vital systeminformation og muliggør download og udførelse af yderligere moduler. Disse moduler tjener forskellige formål, såsom optælling af kørende processer, optagelse af skærmbilleder, søgning efter filer med specifikke udvidelser og overvågning af integriteten af persistenskomponenter.
Desuden har oprydningsmodulet gennemgået væsentlige forbedringer og udvidelser i forhold til tidligere versioner. Dette modul er specielt designet til at eliminere alle spor af malwares tilstedeværelse og udrydde registreringsnøgler forbundet med persistens. Disse forbedringer demonstrerer Charming Kittens vedvarende forpligtelse til at forfine dens teknikker og undgå detektion.
Forskere har også observeret en anden variant af POWERSTAR, der anvender en særskilt tilgang til at hente en hårdkodet C2-server. Denne variant opnår dette ved at afkode en fil, der er gemt på det decentraliserede InterPlanetary Filesystem (IPFS). Ved at udnytte denne metode sigter den charmerende killing på at styrke modstandsdygtigheden af dens angrebsinfrastruktur og forbedre dens evne til at omgå detektions- og afhjælpningsforanstaltninger.
