درب پشتی POWERSTAR

گربه جذاب، یک گروه تحت حمایت دولتی مرتبط با سپاه پاسداران انقلاب اسلامی ایران (سپاه)، به عنوان عامل دیگر کمپین هدفمند فیشینگ نیزه ای شناسایی شده است. این کمپین شامل توزیع یک نوع به روز شده از یک درب پشتی جامع PowerShell معروف به POWERSTAR است.

این آخرین نسخه POWERSTAR با اقدامات امنیتی عملیاتی بهبود یافته بهبود یافته است و تحلیل و جمع آوری اطلاعات در مورد این بدافزار را برای تحلیلگران امنیتی و آژانس های اطلاعاتی به طور قابل توجهی چالش برانگیز می کند. این اقدامات امنیتی برای خنثی کردن شناسایی و جلوگیری از تلاش‌ها برای درک عملکرد درونی درب پشتی طراحی شده‌اند.

مجرمان سایبری بچه گربه های جذاب به شدت به تاکتیک های مهندسی اجتماعی متکی هستند

بازیگران تهدید گربه جذاب که با نام‌های مختلف دیگری مانند APT35، توهم کبالت، طوفان شن نعناع (فسفر سابق) و زرد گارودا نیز شناخته می‌شوند، مهارت خود را در استفاده از تکنیک‌های مهندسی اجتماعی برای فریب دادن اهداف خود نشان داده‌اند. آنها تاکتیک‌های پیچیده‌ای را به کار می‌گیرند، از جمله ایجاد شخصیت‌های جعلی سفارشی در پلتفرم‌های رسانه‌های اجتماعی و شرکت در مکالمات طولانی‌مدت برای ایجاد اعتماد و رابطه. هنگامی که یک رابطه برقرار می شود، آنها به طور استراتژیک پیوندهای مخرب را برای قربانیان خود ارسال می کنند.

علاوه بر مهارت مهندسی اجتماعی، گربه جذاب، زرادخانه تکنیک های نفوذ خود را گسترش داده است. حملات اخیر سازماندهی شده توسط این گروه شامل استقرار ایمپلنت های دیگری مانند PowerLess و BellaCiao بوده است. این نشان می دهد که عامل تهدید طیف متنوعی از ابزارهای جاسوسی را در اختیار دارد و از آنها به صورت استراتژیک برای دستیابی به اهداف استراتژیک خود استفاده می کند. این تطبیق پذیری به بچه گربه جذاب اجازه می دهد تا تاکتیک ها و تکنیک های خود را با توجه به شرایط خاص هر عملیات تطبیق دهد.

ناقلین عفونت درب پشتی POWERSTAR در حال تکامل هستند

در کمپین حمله می 2023، گربه جذاب از یک استراتژی هوشمندانه برای افزایش کارایی بدافزار POWERSTAR استفاده کرد. برای کاهش خطر افشای کد بد خود در معرض تجزیه و تحلیل و شناسایی، آنها یک فرآیند دو مرحله‌ای را اجرا کردند. در ابتدا، یک فایل RAR محافظت شده با رمز عبور حاوی یک فایل LNK برای شروع دانلود Backdoor از Backblaze استفاده می شود. این رویکرد باعث مبهم کردن مقاصد آنها و مانع از تلاش‌های تحلیلی شد.

به گفته محققان، بچه گربه جذاب به عمد روش رمزگشایی را از کد اولیه جدا کرد و از نوشتن آن روی دیسک اجتناب کرد. با انجام این کار، آنها یک لایه اضافی از امنیت عملیاتی را اضافه کردند. جداسازی روش رمزگشایی از سرور Command-and-Control (C2) به عنوان محافظی در برابر تلاش‌های آینده برای رمزگشایی محموله POWERSTAR مربوطه عمل می‌کند. این تاکتیک به طور موثر مانع از دسترسی دشمنان به عملکرد کامل بدافزار می شود و پتانسیل رمزگشایی موفق خارج از کنترل Charming Kitten را محدود می کند.

POWERSTAR دارای طیف گسترده ای از عملکردهای تهدید کننده است

درپشتی POWERSTAR دارای طیف گسترده ای از قابلیت ها است که به آن اجازه می دهد تا دستورات PowerShell و C# را از راه دور انجام دهد. علاوه بر این، استقرار پایداری را تسهیل می کند، اطلاعات حیاتی سیستم را جمع آوری می کند و دانلود و اجرای ماژول های اضافی را امکان پذیر می کند. این ماژول ها اهداف مختلفی از جمله برشمردن فرآیندهای در حال اجرا، گرفتن اسکرین شات، جستجوی فایل هایی با پسوندهای خاص و نظارت بر یکپارچگی اجزای پایدار را انجام می دهند.

علاوه بر این، ماژول پاکسازی نسبت به نسخه‌های قبلی پیشرفت‌ها و توسعه‌های قابل توجهی داشته است. این ماژول به طور خاص برای از بین بردن تمام آثار حضور بدافزار و از بین بردن کلیدهای رجیستری مرتبط با ماندگاری طراحی شده است. این پیشرفت‌ها نشان‌دهنده تعهد مستمر گربه جذاب به اصلاح تکنیک‌های خود و فرار از تشخیص است.

محققان همچنین یک نوع متفاوت از POWERSTAR را مشاهده کرده‌اند که از یک رویکرد متمایز برای بازیابی سرور C2 با کد سخت استفاده می‌کند. این نوع با رمزگشایی یک فایل ذخیره شده در سیستم فایل بین سیاره ای غیرمتمرکز (IPFS) به این امر دست می یابد. با استفاده از این روش، گربه جذاب قصد دارد انعطاف پذیری زیرساخت حمله خود را تقویت کند و توانایی خود را برای فرار از اقدامات شناسایی و کاهش دهد.