POWERSTAR užpakalinės durys
Žavingas kačiukas, valstybės remiama grupuotė, susijusi su Irano Islamo revoliucinės gvardijos korpusu (IRGC), buvo nustatyta kaip kitos tikslinės sukčiavimo su ietimis kampanijos kaltininkas. Ši kampanija apima atnaujinto visapusiško „PowerShell“ užpakalinių durų, žinomo kaip POWERSTAR, varianto platinimą.
Ši naujausia POWERSTAR versija buvo patobulinta patobulintomis veikimo saugumo priemonėmis, todėl saugumo analitikams ir žvalgybos agentūroms yra daug sudėtingiau analizuoti ir rinkti informaciją apie kenkėjišką programą. Šios saugos priemonės skirtos sutrukdyti aptikimui ir trukdyti pastangoms suprasti vidinį užpakalinių durų veikimą.
Turinys
Žavingi kačiukai kibernetiniai nusikaltėliai labai pasikliauja socialinės inžinerijos taktika
Žavingo kačiuko grėsmės veikėjai, taip pat žinomi įvairiais kitais pavadinimais, tokiais kaip APT35, Cobalt Illusion, Mint Sandstorm (anksčiau Phosphorus) ir Yellow Garuda, pademonstravo kompetenciją panaudoti socialinės inžinerijos metodus, siekiant apgauti savo taikinius. Jie taiko sudėtingą taktiką, įskaitant tinkintų netikrų asmenybių kūrimą socialinės žiniasklaidos platformose ir ilgalaikius pokalbius, kad sukurtų pasitikėjimą ir ryšį. Užmezgę santykius, jie strategiškai siunčia kenkėjiškas nuorodas savo aukoms.
Be savo socialinės inžinerijos meistriškumo, Charming Kitten išplėtė savo įsibrovimo technikų arsenalą. Pastarieji grupės surengti išpuoliai buvo susiję su kitų implantų, tokių kaip „PowerLess“ ir „BellaCiao“, diegimas. Tai rodo, kad grėsmės veikėjas turi įvairių šnipinėjimo įrankių ir naudoja juos strategiškai savo strateginiams tikslams pasiekti. Šis universalumas leidžia žavingajam kačiukui pritaikyti savo taktiką ir metodus pagal konkrečias kiekvienos operacijos aplinkybes.
POWERSTAR užpakalinių durų infekcijos vektoriai tobulėja
2023 m. gegužės mėn. atakos kampanijoje „Charming Kitten“ panaudojo sumanią strategiją, kad padidintų POWERSTAR kenkėjiškų programų efektyvumą. Siekdami sumažinti riziką, kad blogas kodas bus analizuojamas ir aptiktas, jie įgyvendino dviejų etapų procesą. Iš pradžių slaptažodžiu apsaugotas RAR failas, kuriame yra LNK failas, naudojamas norint pradėti galinių durų atsisiuntimą iš „Backblaze“. Šis metodas padėjo sujaukti jų ketinimus ir trukdyti analizuoti.
Tyrėjų teigimu, žavusis kačiukas tyčia atskyrė iššifravimo metodą nuo pradinio kodo ir vengė jį įrašyti į diską. Tai darydami jie pridėjo papildomą veikimo saugumo lygį. Iššifravimo metodo atsiejimas nuo komandų ir valdymo (C2) serverio yra apsauga nuo būsimų bandymų iššifruoti atitinkamą POWERSTAR naudingą apkrovą. Ši taktika veiksmingai užkerta kelią priešininkams pasiekti visas kenkėjiškos programos funkcijas ir apriboja sėkmingo iššifravimo galimybes, kurių Charming Kitten nekontroliuoja.
POWERSTAR atlieka daugybę grėsmingų funkcijų
POWERSTAR užpakalinės durys gali pasigirti daugybe galimybių, kurios suteikia galimybę nuotoliniu būdu vykdyti PowerShell ir C# komandas. Be to, tai palengvina patvarumo nustatymą, renka svarbią sistemos informaciją ir leidžia atsisiųsti bei vykdyti papildomus modulius. Šie moduliai naudojami įvairiems tikslams, pavyzdžiui, suskaičiuoti vykdomus procesus, fiksuoti ekrano kopijas, ieškoti failų su konkrečiais plėtiniais ir stebėti patvarumo komponentų vientisumą.
Be to, valymo modulis buvo gerokai patobulintas ir išplėstas, palyginti su ankstesnėmis versijomis. Šis modulis yra specialiai sukurtas pašalinti visus kenkėjiškos programos pėdsakus ir panaikinti registro raktus, susijusius su patvarumu. Šie patobulinimai parodo Charming Kitten nuolatinį įsipareigojimą tobulinti savo metodus ir išvengti aptikimo.
Tyrėjai taip pat pastebėjo kitokį POWERSTAR variantą, kuris naudoja skirtingą metodą, kad būtų galima gauti kieto kodo C2 serverį. Šiuo variantu tai pasiekiama dekoduojant failą, saugomą decentralizuotoje InterPlanetary File System (IPFS). Naudodamas šį metodą, „Charming Kitten“ siekia sustiprinti savo atakų infrastruktūros atsparumą ir pagerinti gebėjimą išvengti aptikimo ir mažinimo priemonių.
