POWERSTARI tagauks
Iraani Islami revolutsioonilise kaardiväekorpusega (IRGC) seotud riiklikult toetatud rühmitus Charming Kitten on tuvastatud järjekordse sihitud oda-andmepüügi kampaania toimepanijana. See kampaania hõlmab kõikehõlmava PowerShelli tagaukse, tuntud kui POWERSTAR, värskendatud variandi levitamist.
Seda POWERSTARI viimast versiooni on täiustatud täiustatud operatiivsete turvameetmetega, mis muudab turvaanalüütikutele ja luureagentuuridele pahavara analüüsimise ja teabe kogumise tunduvalt keerulisemaks. Need turvameetmed on loodud selleks, et takistada tuvastamist ja takistada püüdlusi mõista tagaukse sisemist toimimist.
Sisukord
Võluvad kassipojad küberkurjategijad toetuvad suuresti sotsiaalse inseneri taktikale
The Charming Kitten ohunäitlejad, keda tuntakse ka mitmete teiste nimede all, nagu APT35, Cobalt Illusion, Mint Sandstorm (endine Phosphorus) ja Yellow Garuda, on näidanud üles teadmisi sotsiaalse insenertehniliste võtete võimendamisel oma sihtmärkide petmiseks. Nad kasutavad keerulisi taktikaid, sealhulgas kohandatud võltsisikute loomist sotsiaalmeedia platvormidel ja pikaajalistes vestlustes, et luua usaldust ja suhtlust. Kui suhe on loodud, saadavad nad oma ohvritele strateegiliselt pahatahtlikke linke.
Lisaks sotsiaalsele insenerivõimele on Charming Kitten laiendanud oma sissetungimise tehnikate arsenali. Rühma korraldatud hiljutised rünnakud on hõlmanud teiste implantaatide, nagu PowerLess ja BellaCiao, kasutuselevõttu. See näitab, et ohus osalejal on lai valik spionaaživahendeid, mis kasutavad neid strateegiliselt oma strateegiliste eesmärkide saavutamiseks. See mitmekülgsus võimaldab võluval kassipojal kohandada oma taktikat ja tehnikaid vastavalt iga operatsiooni konkreetsetele asjaoludele.
POWERSTARI tagaukse nakkusvektorid arenevad
2023. aasta mai ründekampaanias kasutas Charming Kitten nutikat strateegiat POWERSTARI pahavara tõhususe suurendamiseks. Halva koodi analüüsi ja tuvastamise ohu vähendamiseks rakendasid nad kaheetapilise protsessi. Algselt kasutatakse tagaukse allalaadimiseks Backblaze'ist LNK-faili sisaldavat parooliga kaitstud RAR-faili. See lähenemine hägustas nende kavatsusi ja takistas analüüside tegemist.
Teadlaste sõnul eraldas Charming Kitten dekrüpteerimismeetodi tahtlikult algsest koodist ja vältis selle kettale kirjutamist. Seda tehes lisasid nad täiendava tööturbe kihi. Dekrüpteerimismeetodi lahtisidumine Command-and-Control (C2) serverist kaitseb tulevaste katsete eest vastavat POWERSTARI kasulikku koormust dekrüpteerida. See taktika takistab tõhusalt vastastel juurdepääsu pahavara kõikidele funktsioonidele ja piirab eduka dekrüpteerimise võimalust väljaspool Charming Kitten'i kontrolli.
POWERSTARIl on lai valik ähvardavaid funktsioone
POWERSTARi tagauksel on lai valik võimalusi, mis võimaldavad tal PowerShelli ja C# käske kaugkäivitada. Lisaks hõlbustab see püsivuse loomist, kogub olulist süsteemiteavet ning võimaldab alla laadida ja käivitada täiendavaid mooduleid. Need moodulid teenivad erinevaid eesmärke, nagu näiteks jooksvate protsesside loetlemine, ekraanipiltide jäädvustamine, kindlate laienditega failide otsimine ja püsikomponentide terviklikkuse jälgimine.
Lisaks on puhastusmoodul võrreldes eelmiste versioonidega läbinud märkimisväärseid täiustusi ja laiendusi. See moodul on spetsiaalselt loodud selleks, et kõrvaldada kõik pahavara olemasolu jäljed ja kustutada püsivusega seotud registrivõtmed. Need täiustused näitavad Charming Kitteni pidevat pühendumust oma tehnikate täiustamisele ja avastamisest kõrvalehoidmisele.
Teadlased on täheldanud ka teistsugust POWERSTARI varianti, mis kasutab kõvakodeeritud C2-serveri hankimiseks erinevat lähenemisviisi. See variant saavutab selle, dekodeerides detsentraliseeritud planeetidevahelises failisüsteemis (IPFS) salvestatud faili. Seda meetodit võimendades püüab võluv kassipoeg tugevdada oma ründetaristu vastupidavust ja suurendada selle võimet vältida avastamis- ja leevendusmeetmeid.
