Πίσω πόρτα POWERSTAR
Το Charming Kitten, μια κρατική ομάδα που συνδέεται με το Σώμα των Φρουρών της Ισλαμικής Επανάστασης του Ιράν (IRGC), έχει αναγνωριστεί ως ο δράστης πίσω από μια άλλη στοχευμένη εκστρατεία ψαρέματος με δόρυ. Αυτή η καμπάνια περιλαμβάνει τη διανομή μιας ενημερωμένης παραλλαγής μιας ολοκληρωμένης κερκόπορτας PowerShell γνωστής ως POWERSTAR.
Αυτή η τελευταία έκδοση του POWERSTAR έχει βελτιωθεί με βελτιωμένα λειτουργικά μέτρα ασφαλείας, καθιστώντας πολύ πιο δύσκολη για τους αναλυτές ασφαλείας και τις υπηρεσίες πληροφοριών να αναλύουν και να συλλέγουν πληροφορίες σχετικά με το κακόβουλο λογισμικό. Αυτά τα μέτρα ασφαλείας έχουν σχεδιαστεί για να εμποδίζουν τον εντοπισμό και να εμποδίζουν τις προσπάθειες κατανόησης της εσωτερικής λειτουργίας της κερκόπορτας.
Πίνακας περιεχομένων
Τα γοητευτικά γατάκια κυβερνοεγκληματίες βασίζονται σε μεγάλο βαθμό στις τακτικές κοινωνικής μηχανικής
Οι ηθοποιοί απειλών Charming Kitten , γνωστοί και με διάφορα άλλα ονόματα όπως APT35, Cobalt Illusion, Mint Sandstorm (πρώην Phosphorus) και Yellow Garuda, έχουν επιδείξει τεχνογνωσία στη μόχλευση τεχνικών κοινωνικής μηχανικής για να εξαπατήσουν τους στόχους τους. Χρησιμοποιούν περίπλοκες τακτικές, συμπεριλαμβανομένης της δημιουργίας εξατομικευμένων ψεύτικων προσώπων σε πλατφόρμες μέσων κοινωνικής δικτύωσης και τη συμμετοχή σε παρατεταμένες συνομιλίες για την εδραίωση εμπιστοσύνης και σχέσης. Μόλις δημιουργηθεί μια σχέση, στέλνουν στρατηγικά κακόβουλους συνδέσμους στα θύματά τους.
Εκτός από την ικανότητά του στην κοινωνική μηχανική, το Charming Kitten έχει επεκτείνει το οπλοστάσιό του σε τεχνικές εισβολής. Πρόσφατες επιθέσεις που ενορχηστρώθηκαν από την ομάδα αφορούσαν την ανάπτυξη άλλων εμφυτευμάτων, όπως το PowerLess και το BellaCiao. Αυτό υποδηλώνει ότι ο παράγοντας της απειλής διαθέτει ένα ευρύ φάσμα εργαλείων κατασκοπείας, που τα χρησιμοποιεί στρατηγικά για την επίτευξη των στρατηγικών του στόχων. Αυτή η ευελιξία επιτρέπει στο Charming Kitten να προσαρμόζει τις τακτικές και τις τεχνικές του σύμφωνα με τις ειδικές συνθήκες κάθε επέμβασης.
Οι φορείς μόλυνσης από την οπίσθια πόρτα POWERSTAR εξελίσσονται
Στην εκστρατεία επίθεσης του Μαΐου 2023, το Charming Kitten χρησιμοποίησε μια έξυπνη στρατηγική για να ενισχύσει την αποτελεσματικότητα του κακόβουλου λογισμικού POWERSTAR. Για να μετριάσουν τον κίνδυνο να εκθέσουν τον κακό τους κώδικα σε ανάλυση και ανίχνευση, εφάρμοσαν μια διαδικασία δύο βημάτων. Αρχικά, ένα αρχείο RAR που προστατεύεται με κωδικό πρόσβασης που περιέχει ένα αρχείο LNK χρησιμοποιείται για την έναρξη της λήψης του backdoor από το Backblaze. Αυτή η προσέγγιση χρησίμευσε για να θολώσει τις προθέσεις τους και να εμποδίσει τις προσπάθειες ανάλυσης.
Σύμφωνα με τους ερευνητές, το Charming Kitten διαχώρισε σκόπιμα τη μέθοδο αποκρυπτογράφησης από τον αρχικό κώδικα και απέφυγε να τον γράψει στο δίσκο. Με αυτόν τον τρόπο, πρόσθεσαν ένα επιπλέον επίπεδο λειτουργικής ασφάλειας. Η αποσύνδεση της μεθόδου αποκρυπτογράφησης από τον διακομιστή Command-and-Control (C2) χρησιμεύει ως προστασία έναντι μελλοντικών προσπαθειών αποκρυπτογράφησης του αντίστοιχου ωφέλιμου φορτίου POWERSTAR. Αυτή η τακτική εμποδίζει αποτελεσματικά τους αντιπάλους να έχουν πρόσβαση στην πλήρη λειτουργικότητα του κακόβουλου λογισμικού και περιορίζει τις δυνατότητες επιτυχούς αποκρυπτογράφησης εκτός του ελέγχου του Charming Kitten.
Το POWERSTAR φέρει ένα ευρύ φάσμα απειλητικών λειτουργιών
Η κερκόπορτα POWERSTAR διαθέτει ένα ευρύ φάσμα δυνατοτήτων που της δίνουν τη δυνατότητα να εκτελεί εξ αποστάσεως εκτέλεση εντολών PowerShell και C#. Επιπλέον, διευκολύνει την εγκαθίδρυση επιμονής, συλλέγει ζωτικής σημασίας πληροφορίες συστήματος και επιτρέπει τη λήψη και την εκτέλεση πρόσθετων λειτουργικών μονάδων. Αυτές οι μονάδες εξυπηρετούν διάφορους σκοπούς, όπως απαρίθμηση διεργασιών που εκτελούνται, λήψη στιγμιότυπων οθόνης, αναζήτηση αρχείων με συγκεκριμένες επεκτάσεις και παρακολούθηση της ακεραιότητας των στοιχείων επιμονής.
Επιπλέον, η μονάδα καθαρισμού έχει υποστεί σημαντικές βελτιώσεις και επεκτάσεις σε σύγκριση με προηγούμενες εκδόσεις. Αυτή η ενότητα έχει σχεδιαστεί ειδικά για να εξαλείφει όλα τα ίχνη της παρουσίας του κακόβουλου λογισμικού και να εξαλείφει τα κλειδιά μητρώου που σχετίζονται με την επιμονή. Αυτές οι βελτιώσεις καταδεικνύουν τη συνεχή δέσμευση του Charming Kitten να βελτιώσει τις τεχνικές του και να αποφύγει τον εντοπισμό.
Οι ερευνητές παρατήρησαν επίσης μια διαφορετική παραλλαγή του POWERSTAR που χρησιμοποιεί μια ξεχωριστή προσέγγιση για την ανάκτηση ενός σκληρού κωδικοποιημένου διακομιστή C2. Αυτή η παραλλαγή το επιτυγχάνει με την αποκωδικοποίηση ενός αρχείου που είναι αποθηκευμένο στο αποκεντρωμένο InterPlanetary Filesystem (IPFS). Αξιοποιώντας αυτή τη μέθοδο, το Charming Kitten στοχεύει να ενισχύσει την ανθεκτικότητα της υποδομής επίθεσης και να ενισχύσει την ικανότητά του να αποφεύγει τον εντοπισμό και τα μέτρα μετριασμού.
