POWERSTAR stražnja vrata
The Charming Kitten, državno sponzorirana skupina povezana s Iranskom revolucionarnom gardom (IRGC), identificirana je kao počinitelj iza još jedne ciljane spear-phishing kampanje. Ova kampanja uključuje distribuciju ažurirane varijante sveobuhvatnog PowerShell backdoor-a poznatog kao POWERSTAR.
Ova posljednja verzija POWERSTAR-a poboljšana je poboljšanim operativnim sigurnosnim mjerama, što analitičarima sigurnosti i obavještajnim agencijama čini značajno većim izazovom analizu i prikupljanje informacija o zlonamjernom softveru. Ove sigurnosne mjere osmišljene su kako bi spriječile otkrivanje i ometale napore da se razumije unutarnje funkcioniranje stražnjih vrata.
Sadržaj
The Charming Kitten Cyberkriminalci se uvelike oslanjaju na taktike društvenog inženjeringa
Glumci prijetnje Charming Kitten , također poznati pod raznim drugim imenima kao što su APT35, Cobalt Illusion, Mint Sandstorm (bivši Phosphorus) i Yellow Garuda, pokazali su stručnost u korištenju tehnika socijalnog inženjeringa kako bi prevarili svoje mete. Primjenjuju sofisticirane taktike, uključujući stvaranje prilagođenih lažnih osoba na platformama društvenih medija i sudjelovanje u dugotrajnim razgovorima kako bi uspostavili povjerenje i odnos. Nakon što se uspostavi odnos, oni strateški šalju zlonamjerne poveznice svojim žrtvama.
Uz svoju moć društvenog inženjeringa, Charming Kitten je proširio svoj arsenal tehnika upada. Nedavni napadi koje je orkestrirala skupina uključivali su postavljanje drugih implantata, kao što su PowerLess i BellaCiao. To ukazuje da akter prijetnje posjeduje raznolik raspon alata za špijunažu, koristeći ih strateški za postizanje svojih strateških ciljeva. Ova svestranost omogućuje Charming Kitten da prilagode svoje taktike i tehnike prema specifičnim okolnostima svake operacije.
POWERSTAR Backdoor vektori infekcije se razvijaju
U kampanji napada u svibnju 2023., Charming Kitten primijenio je pametnu strategiju za povećanje učinkovitosti zlonamjernog softvera POWERSTAR. Kako bi ublažili rizik od izlaganja lošeg koda analizi i otkrivanju, implementirali su proces u dva koraka. U početku se RAR datoteka zaštićena lozinkom koja sadrži LNK datoteku koristi za pokretanje preuzimanja stražnjih vrata s Backblaze-a. Ovaj je pristup služio za zamagljivanje njihovih namjera i sprječavanje analitičkih napora.
Prema istraživačima, Charming Kitten namjerno je odvojio metodu dešifriranja od početnog koda i izbjegao ga zapisati na disk. Time su dodali dodatni sloj operativne sigurnosti. Odvajanje metode dešifriranja od Command-and-Control (C2) poslužitelja služi kao zaštita od budućih pokušaja dešifriranja odgovarajućeg POWERSTAR korisnog opterećenja. Ova taktika učinkovito sprječava neprijatelje da pristupe punoj funkcionalnosti zlonamjernog softvera i ograničava mogućnost uspješnog dešifriranja izvan kontrole Charming Kitten.
POWERSTAR nosi širok raspon prijetećih funkcija
POWERSTAR backdoor se može pohvaliti širokim rasponom mogućnosti koje mu omogućuju daljinsko izvršavanje PowerShell i C# naredbi. Dodatno, olakšava uspostavu postojanosti, prikuplja vitalne informacije o sustavu i omogućuje preuzimanje i izvođenje dodatnih modula. Ovi moduli služe u različite svrhe, kao što je nabrajanje pokrenutih procesa, snimanje snimki zaslona, traženje datoteka s određenim ekstenzijama i praćenje integriteta komponenti postojanosti.
Nadalje, modul za čišćenje doživio je značajna poboljšanja i proširenja u usporedbi s prethodnim verzijama. Ovaj modul je posebno dizajniran za uklanjanje svih tragova prisutnosti zlonamjernog softvera i iskorijenjivanje ključeva registra povezanih s postojanošću. Ova poboljšanja pokazuju stalnu predanost Charming Kitten usavršavanju svojih tehnika i izbjegavanju otkrivanja.
Istraživači su također primijetili drugačiju varijantu POWERSTAR-a koja koristi poseban pristup za dohvaćanje tvrdo kodiranog C2 poslužitelja. Ova varijanta to postiže dekodiranjem datoteke pohranjene na decentraliziranom međuplanetarnom datotečnom sustavu (IPFS). Koristeći ovu metodu, Charming Kitten ima za cilj ojačati otpornost svoje infrastrukture napada i povećati svoju sposobnost izbjegavanja mjera otkrivanja i ublažavanja.
