درب پشتی POWERSTAR
گربه جذاب، یک گروه تحت حمایت دولتی مرتبط با سپاه پاسداران انقلاب اسلامی ایران (سپاه)، به عنوان عامل دیگر کمپین هدفمند فیشینگ نیزه ای شناسایی شده است. این کمپین شامل توزیع یک نوع به روز شده از یک درب پشتی جامع PowerShell معروف به POWERSTAR است.
این آخرین نسخه POWERSTAR با اقدامات امنیتی عملیاتی بهبود یافته بهبود یافته است و تحلیل و جمع آوری اطلاعات در مورد این بدافزار را برای تحلیلگران امنیتی و آژانس های اطلاعاتی به طور قابل توجهی چالش برانگیز می کند. این اقدامات امنیتی برای خنثی کردن شناسایی و جلوگیری از تلاشها برای درک عملکرد درونی درب پشتی طراحی شدهاند.
فهرست مطالب
مجرمان سایبری بچه گربه های جذاب به شدت به تاکتیک های مهندسی اجتماعی متکی هستند
بازیگران تهدید گربه جذاب که با نامهای مختلف دیگری مانند APT35، توهم کبالت، طوفان شن نعناع (فسفر سابق) و زرد گارودا نیز شناخته میشوند، مهارت خود را در استفاده از تکنیکهای مهندسی اجتماعی برای فریب دادن اهداف خود نشان دادهاند. آنها تاکتیکهای پیچیدهای را به کار میگیرند، از جمله ایجاد شخصیتهای جعلی سفارشی در پلتفرمهای رسانههای اجتماعی و شرکت در مکالمات طولانیمدت برای ایجاد اعتماد و رابطه. هنگامی که یک رابطه برقرار می شود، آنها به طور استراتژیک پیوندهای مخرب را برای قربانیان خود ارسال می کنند.
علاوه بر مهارت مهندسی اجتماعی، گربه جذاب، زرادخانه تکنیک های نفوذ خود را گسترش داده است. حملات اخیر سازماندهی شده توسط این گروه شامل استقرار ایمپلنت های دیگری مانند PowerLess و BellaCiao بوده است. این نشان می دهد که عامل تهدید طیف متنوعی از ابزارهای جاسوسی را در اختیار دارد و از آنها به صورت استراتژیک برای دستیابی به اهداف استراتژیک خود استفاده می کند. این تطبیق پذیری به بچه گربه جذاب اجازه می دهد تا تاکتیک ها و تکنیک های خود را با توجه به شرایط خاص هر عملیات تطبیق دهد.
ناقلین عفونت درب پشتی POWERSTAR در حال تکامل هستند
در کمپین حمله می 2023، گربه جذاب از یک استراتژی هوشمندانه برای افزایش کارایی بدافزار POWERSTAR استفاده کرد. برای کاهش خطر افشای کد بد خود در معرض تجزیه و تحلیل و شناسایی، آنها یک فرآیند دو مرحلهای را اجرا کردند. در ابتدا، یک فایل RAR محافظت شده با رمز عبور حاوی یک فایل LNK برای شروع دانلود Backdoor از Backblaze استفاده می شود. این رویکرد باعث مبهم کردن مقاصد آنها و مانع از تلاشهای تحلیلی شد.
به گفته محققان، بچه گربه جذاب به عمد روش رمزگشایی را از کد اولیه جدا کرد و از نوشتن آن روی دیسک اجتناب کرد. با انجام این کار، آنها یک لایه اضافی از امنیت عملیاتی را اضافه کردند. جداسازی روش رمزگشایی از سرور Command-and-Control (C2) به عنوان محافظی در برابر تلاشهای آینده برای رمزگشایی محموله POWERSTAR مربوطه عمل میکند. این تاکتیک به طور موثر مانع از دسترسی دشمنان به عملکرد کامل بدافزار می شود و پتانسیل رمزگشایی موفق خارج از کنترل Charming Kitten را محدود می کند.
POWERSTAR دارای طیف گسترده ای از عملکردهای تهدید کننده است
درپشتی POWERSTAR دارای طیف گسترده ای از قابلیت ها است که به آن اجازه می دهد تا دستورات PowerShell و C# را از راه دور انجام دهد. علاوه بر این، استقرار پایداری را تسهیل می کند، اطلاعات حیاتی سیستم را جمع آوری می کند و دانلود و اجرای ماژول های اضافی را امکان پذیر می کند. این ماژول ها اهداف مختلفی از جمله برشمردن فرآیندهای در حال اجرا، گرفتن اسکرین شات، جستجوی فایل هایی با پسوندهای خاص و نظارت بر یکپارچگی اجزای پایدار را انجام می دهند.
علاوه بر این، ماژول پاکسازی نسبت به نسخههای قبلی پیشرفتها و توسعههای قابل توجهی داشته است. این ماژول به طور خاص برای از بین بردن تمام آثار حضور بدافزار و از بین بردن کلیدهای رجیستری مرتبط با ماندگاری طراحی شده است. این پیشرفتها نشاندهنده تعهد مستمر گربه جذاب به اصلاح تکنیکهای خود و فرار از تشخیص است.
محققان همچنین یک نوع متفاوت از POWERSTAR را مشاهده کردهاند که از یک رویکرد متمایز برای بازیابی سرور C2 با کد سخت استفاده میکند. این نوع با رمزگشایی یک فایل ذخیره شده در سیستم فایل بین سیاره ای غیرمتمرکز (IPFS) به این امر دست می یابد. با استفاده از این روش، گربه جذاب قصد دارد انعطاف پذیری زیرساخت حمله خود را تقویت کند و توانایی خود را برای فرار از اقدامات شناسایی و کاهش دهد.