POWERSTAR hátsó ajtó
Az Iráni Iszlám Forradalmi Gárda (IRGC) államilag támogatott csoportja, a Charming Kitten azonosították az elkövetőt egy másik célzott lándzsás adathalász kampány mögött. Ez a kampány a POWERSTAR néven ismert átfogó PowerShell-hátsó ajtó frissített változatának terjesztését foglalja magában.
A POWERSTAR legújabb verziója továbbfejlesztett működési biztonsági intézkedésekkel lett továbbfejlesztve, így a biztonsági elemzők és hírszerző ügynökségek számára sokkal nagyobb kihívást jelent a rosszindulatú program elemzése és információgyűjtése. Ezeket a biztonsági intézkedéseket úgy tervezték, hogy megakadályozzák az észlelést, és akadályozzák a hátsó ajtó belső működésének megértésére irányuló erőfeszítéseket.
Tartalomjegyzék
A bájos cica kiberbűnözők nagymértékben támaszkodnak a szociális tervezési taktikákra
A Charming Kitten fenyegetés szereplői, más néven az APT35, a Cobalt Illusion, a Mint Sandstorm (korábban Phosphorus) és a Yellow Garuda, szakértelmüket bizonyították a társadalmi tervezési technikák felhasználásában, hogy megtévesszék célpontjaikat. Kifinomult taktikákat alkalmaznak, beleértve az egyéni hamis személyek létrehozását a közösségi média platformokon, és hosszan tartó beszélgetéseket folytatnak a bizalom és a kapcsolat megteremtése érdekében. Miután létrejött egy kapcsolat, stratégiailag rosszindulatú linkeket küldenek áldozataiknak.
Szociális mérnöki képessége mellett a Charming Kitten kibővítette a behatolási technikák arzenálját. A csoport által a közelmúltban végrehajtott támadások során más implantátumokat is bevetettek, mint például a PowerLess és a BellaCiao. Ez azt jelzi, hogy a fenyegető szereplő sokféle kémeszközzel rendelkezik, és ezeket stratégiailag használja fel stratégiai céljainak eléréséhez. Ez a sokoldalúság lehetővé teszi a Charming Kitten számára, hogy taktikáját és technikáját az egyes műveletek sajátos körülményeihez igazítsa.
A POWERSTAR hátsó ajtó fertőzés vektorai fejlődnek
A 2023. májusi támadási kampányban a Charming Kitten ügyes stratégiát alkalmazott a POWERSTAR rosszindulatú program hatékonyságának növelésére. Annak érdekében, hogy csökkentsék annak kockázatát, hogy rossz kódjuk elemzésnek és észlelésnek legyen kitéve, kétlépéses folyamatot vezettek be. Kezdetben egy LNK-fájlt tartalmazó, jelszóval védett RAR-fájlt használnak a hátsó ajtó letöltésének elindításához a Backblaze-ről. Ez a megközelítés arra szolgált, hogy elhomályosítsa szándékaikat, és akadályozza az elemzési erőfeszítéseket.
A kutatók szerint a Charming Kitten szándékosan választotta el a visszafejtési módszert a kezdeti kódtól, és elkerülte, hogy azt lemezre írja. Ezzel további működési biztonsági réteget adtak hozzá. A visszafejtési módszer leválasztása a Command-and-Control (C2) kiszolgálóról védelmet jelent a megfelelő POWERSTAR hasznos terhelés visszafejtésére irányuló jövőbeni kísérletekkel szemben. Ez a taktika hatékonyan megakadályozza, hogy az ellenfelek hozzáférjenek a rosszindulatú program teljes funkcionalitásához, és korlátozza a sikeres titkosítás lehetőségét a Charming Kitten ellenőrzésén kívül.
A POWERSTAR fenyegető funkciók széles skáláját hordozza
A POWERSTAR hátsó ajtó a képességek széles skálájával büszkélkedhet, amelyek lehetővé teszik a PowerShell és C# parancsok távoli végrehajtását. Ezenkívül megkönnyíti a perzisztencia kialakítását, összegyűjti a létfontosságú rendszerinformációkat, és lehetővé teszi további modulok letöltését és végrehajtását. Ezek a modulok különféle célokat szolgálnak, például a futó folyamatok számbavételét, képernyőképek rögzítését, meghatározott kiterjesztésű fájlok keresését és a perzisztencia összetevők integritásának figyelését.
Ezenkívül a tisztítási modul jelentős fejlesztéseken és bővítéseken ment keresztül a korábbi verziókhoz képest. Ezt a modult kifejezetten arra tervezték, hogy megszüntesse a rosszindulatú program jelenlétének minden nyomát, és felszámolja a fennmaradással kapcsolatos rendszerleíró kulcsokat. Ezek a fejlesztések demonstrálják a Charming Kitten folyamatos elkötelezettségét a technikák finomítása és az észlelés elkerülése iránt.
A kutatók a POWERSTAR egy másik változatát is megfigyelték, amely egy külön megközelítést alkalmaz egy merev kódolású C2 szerver lekérésére. Ez a változat ezt a decentralizált interplanetáris fájlrendszeren (IPFS) tárolt fájl dekódolásával éri el. Ennek a módszernek a kihasználásával a Charming Kitten célja, hogy megerősítse támadási infrastruktúrájának ellenálló képességét, és javítsa azon képességét, hogy elkerülje az észlelési és mérséklő intézkedéseket.
