POWERSTAR Backdoor
ក្រុម Charming Kitten ដែលជាក្រុមឧបត្ថម្ភដោយរដ្ឋដែលមានទំនាក់ទំនងជាមួយកងឆ្មាំបដិវត្តន៍អ៊ីស្លាមអ៊ីរ៉ង់ (IRGC) ត្រូវបានគេកំណត់ថាជាជនល្មើសនៅពីក្រោយយុទ្ធនាការលួចលំពែងគោលដៅមួយផ្សេងទៀត។ យុទ្ធនាការនេះពាក់ព័ន្ធនឹងការចែកចាយកំណែអាប់ដេតនៃ PowerShell backdoor ដ៏ទូលំទូលាយដែលគេស្គាល់ថា POWERSTAR ។
កំណែចុងក្រោយរបស់ POWERSTAR នេះត្រូវបានធ្វើឱ្យប្រសើរឡើងជាមួយនឹងវិធានការសុវត្ថិភាពប្រតិបត្តិការដែលប្រសើរឡើង ដែលធ្វើឱ្យវាកាន់តែមានការប្រកួតប្រជែងខ្លាំងសម្រាប់អ្នកវិភាគសុវត្ថិភាព និងទីភ្នាក់ងារស៊ើបការណ៍សម្ងាត់ក្នុងការវិភាគ និងប្រមូលព័ត៌មានអំពីមេរោគ។ វិធានការសុវត្ថិភាពទាំងនេះត្រូវបានរចនាឡើងដើម្បីរារាំងការរកឃើញ និងរារាំងកិច្ចខិតខំប្រឹងប្រែងដើម្បីស្វែងយល់ពីការងារខាងក្នុងនៃទ្វារខាងក្រោយ។
តារាងមាតិកា
ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិត ឆ្មាដ៏គួរឱ្យទាក់ទាញ ពឹងផ្អែកយ៉ាងខ្លាំងលើយុទ្ធសាស្ត្រវិស្វកម្មសង្គម
តួអង្គគំរាមកំហែង ឆ្មា Charming Kitten ដែលត្រូវបានគេស្គាល់ផងដែរដោយឈ្មោះផ្សេងៗដូចជា APT35, Cobalt Illusion, Mint Sandstorm (អតីត Phosphorus) និង Yellow Garuda បានបង្ហាញពីជំនាញក្នុងការប្រើបច្ចេកទេសវិស្វកម្មសង្គមដើម្បីបញ្ឆោតគោលដៅរបស់ពួកគេ។ ពួកគេប្រើប្រាស់យុទ្ធសាស្ត្រដ៏ទំនើប រួមទាំងការបង្កើតបុគ្គលក្លែងក្លាយផ្ទាល់ខ្លួននៅលើវេទិកាប្រព័ន្ធផ្សព្វផ្សាយសង្គម និងចូលរួមក្នុងការសន្ទនាដ៏យូរដើម្បីបង្កើតការជឿទុកចិត្ត និងទំនាក់ទំនង។ នៅពេលដែលទំនាក់ទំនងមួយត្រូវបានបង្កើតឡើង ពួកវាជាយុទ្ធសាស្រ្តផ្ញើតំណភ្ជាប់ព្យាបាទទៅកាន់ជនរងគ្រោះរបស់ពួកគេ។
បន្ថែមពីលើជំនាញវិស្វកម្មសង្គមរបស់ខ្លួន Charming Kitten បានពង្រីកឃ្លាំងអាវុធរបស់ខ្លួននៃបច្ចេកទេសឈ្លានពាន។ ការវាយប្រហារថ្មីៗដែលរៀបចំដោយក្រុមនេះមានពាក់ព័ន្ធនឹងការដាក់ពង្រាយឧបករណ៍ផ្សាំផ្សេងទៀតដូចជា PowerLess និង BellaCiao។ នេះបង្ហាញថាតួអង្គគំរាមកំហែងមានឧបករណ៍ចារកម្មចម្រុះ ដោយប្រើប្រាស់ពួកវាជាយុទ្ធសាស្ត្រ ដើម្បីសម្រេចបាននូវគោលដៅជាយុទ្ធសាស្ត្ររបស់ពួកគេ។ ភាពប៉ិនប្រសប់នេះអនុញ្ញាតឱ្យឆ្មា Charming Kitten សម្របនូវកលល្បិច និងបច្ចេកទេសរបស់ពួកគេទៅតាមកាលៈទេសៈជាក់លាក់នៃប្រតិបត្តិការនីមួយៗ។
POWERSTAR Backdoor Infect Vectors កំពុងវិវឌ្ឍន៍
នៅក្នុងយុទ្ធនាការវាយប្រហារខែឧសភា ឆ្នាំ 2023 ឆ្មា Charming Kitten បានប្រើប្រាស់យុទ្ធសាស្រ្តដ៏ឆ្លាតវៃមួយ ដើម្បីបង្កើនប្រសិទ្ធភាពនៃមេរោគ POWERSTAR ។ ដើម្បីកាត់បន្ថយហានិភ័យនៃការបង្ហាញកូដអាក្រក់របស់ពួកគេចំពោះការវិភាគ និងការរកឃើញ ពួកគេបានអនុវត្តដំណើរការពីរជំហាន។ ដំបូង ឯកសារ RAR ដែលការពារដោយពាក្យសម្ងាត់ដែលមានឯកសារ LNK ត្រូវបានប្រើប្រាស់ដើម្បីចាប់ផ្តើមការទាញយក backdoor ពី Backblaze ។ វិធីសាស្រ្តនេះបានបម្រើដើម្បីបិទបាំងចេតនារបស់ពួកគេ និងរារាំងកិច្ចខិតខំប្រឹងប្រែងវិភាគ។
យោងតាមក្រុមអ្នកស្រាវជ្រាវ Charming Kitten មានចេតនាបំបែកវិធីសាស្ត្រឌិគ្រីបចេញពីកូដដំបូង ហើយជៀសវាងការសរសេរវាទៅក្នុងថាស។ តាមរយៈការធ្វើដូច្នេះ ពួកគេបានបន្ថែមស្រទាប់សុវត្ថិភាពប្រតិបត្តិការបន្ថែមទៀត។ ការបំបែកនៃវិធីសាស្ត្រឌិគ្រីបពីម៉ាស៊ីនមេ Command-and-Control (C2) បម្រើជាការការពារប្រឆាំងនឹងការប៉ុនប៉ងនាពេលអនាគតដើម្បីឌិគ្រីប POWERSTAR payload ដែលត្រូវគ្នា។ យុទ្ធសាស្ត្រនេះមានប្រសិទ្ធភាពការពារសត្រូវពីការចូលប្រើមុខងារពេញលេញនៃមេរោគ និងកំណត់សក្តានុពលសម្រាប់ការឌិគ្រីបដោយជោគជ័យនៅខាងក្រៅការគ្រប់គ្រងរបស់ Charming Kitten ។
POWERSTAR មានមុខងារគំរាមកំហែងយ៉ាងទូលំទូលាយ
POWERSTAR backdoor មានសមត្ថភាពយ៉ាងទូលំទូលាយដែលផ្តល់អំណាចឱ្យវាធ្វើការប្រតិបត្តិពីចម្ងាយនៃពាក្យបញ្ជា PowerShell និង C# ។ លើសពីនេះទៀត វាជួយសម្រួលដល់ការបង្កើតភាពជាប់លាប់ ប្រមូលព័ត៌មានប្រព័ន្ធសំខាន់ៗ និងអនុញ្ញាតឱ្យទាញយក និងប្រតិបត្តិម៉ូឌុលបន្ថែម។ ម៉ូឌុលទាំងនេះបម្រើគោលបំណងផ្សេងៗ ដូចជាការរាប់បញ្ចូលដំណើរការដែលកំពុងដំណើរការ ចាប់យករូបថតអេក្រង់ ស្វែងរកឯកសារដែលមានផ្នែកបន្ថែមជាក់លាក់ និងត្រួតពិនិត្យភាពត្រឹមត្រូវនៃសមាសធាតុបន្ត។
លើសពីនេះ ម៉ូឌុលសម្អាតបានឆ្លងកាត់ការកែលម្អ និងការពង្រីកយ៉ាងសំខាន់បើប្រៀបធៀបទៅនឹងកំណែមុនៗ។ ម៉ូឌុលនេះត្រូវបានរចនាឡើងជាពិសេសដើម្បីលុបបំបាត់ដានទាំងអស់នៃវត្តមានរបស់មេរោគ និងលុបបំបាត់សោចុះបញ្ជីដែលជាប់ទាក់ទងនឹងការបន្ត។ ការកែលម្អទាំងនេះបង្ហាញពីការប្តេជ្ញាចិត្តបន្តរបស់ Charming Kitten ក្នុងការកែលម្អបច្ចេកទេសរបស់វា និងគេចពីការរកឃើញ។
អ្នកស្រាវជ្រាវក៏បានសង្កេតឃើញភាពខុសគ្នានៃ POWERSTAR ដែលប្រើវិធីសាស្រ្តផ្សេងគ្នាដើម្បីទាញយកម៉ាស៊ីនមេ C2 ដែលមានកូដរឹង។ វ៉ារ្យ៉ង់នេះសម្រេចបានដោយការឌិកូដឯកសារដែលរក្សាទុកនៅលើប្រព័ន្ធឯកសារអន្តរភពវិមជ្ឈការ (IPFS) ។ តាមរយៈការប្រើប្រាស់វិធីសាស្ត្រនេះ Charming Kitten មានគោលបំណងពង្រឹងភាពធន់នៃហេដ្ឋារចនាសម្ព័ន្ធការវាយប្រហាររបស់វា និងបង្កើនសមត្ថភាពរបស់ខ្លួនក្នុងការគេចចេញពីវិធានការរាវរក និងកាត់បន្ថយ។