POWERSTAR aizmugures durvis

Burvīgais kaķēns, valsts sponsorēts grupējums, kas saistīts ar Irānas Islāma revolucionāro gvardu korpusu (IRGC), ir identificēts kā vaininieks citai mērķtiecīgai šķēpu pikšķerēšanas kampaņai. Šajā kampaņā tiek izplatīts atjaunināts visaptverošo PowerShell aizmugures durvju variants, kas pazīstams kā POWERSTAR.

Šī jaunākā POWERSTAR versija ir uzlabota ar uzlabotiem darbības drošības pasākumiem, padarot drošības analītiķiem un izlūkošanas aģentūrām daudz grūtāk analizēt un apkopot informāciju par ļaunprātīgu programmatūru. Šie drošības pasākumi ir paredzēti, lai kavētu atklāšanu un kavētu centienus izprast aizmugures durvju iekšējo darbību.

Burvīgo kaķēnu kibernoziedznieki lielā mērā paļaujas uz sociālās inženierijas taktiku

The Charming Kitten apdraudējuma aktieri, kas pazīstami arī ar dažādiem citiem nosaukumiem, piemēram, APT35, Cobalt Illusion, Mint Sandstorm (agrāk Phosphorus) un Yellow Garuda, ir pierādījuši zināšanas, izmantojot sociālās inženierijas metodes, lai maldinātu savus mērķus. Viņi izmanto izsmalcinātu taktiku, tostarp pielāgotu viltotu personu izveidi sociālo mediju platformās un iesaistās ilgstošās sarunās, lai izveidotu uzticību un attiecības. Kad attiecības ir nodibinātas, viņi stratēģiski nosūta saviem upuriem ļaunprātīgas saites.

Papildus savām sociālās inženierijas spējām Charming Kitten ir paplašinājis savu ielaušanās paņēmienu arsenālu. Nesenie grupas organizētie uzbrukumi ir saistīti ar citu implantu, piemēram, PowerLess un BellaCiao, izvietošanu. Tas norāda, ka apdraudējuma dalībniekam ir daudzveidīgs spiegošanas rīku klāsts, kas tos stratēģiski izmanto savu stratēģisko mērķu sasniegšanai. Šī daudzpusība ļauj burvīgajam kaķēnam pielāgot savu taktiku un paņēmienus atbilstoši katras operācijas konkrētajiem apstākļiem.

POWERSTAR aizmugures durvju infekcijas vektori attīstās

2023. gada maija uzbrukuma kampaņā burvīgais kaķēns izmantoja gudru stratēģiju, lai uzlabotu POWERSTAR ļaunprātīgās programmatūras efektivitāti. Lai mazinātu risku, ka viņu sliktais kods tiks pakļauts analīzei un noteikšanai, viņi ieviesa divpakāpju procesu. Sākotnēji ar paroli aizsargāts RAR fails, kas satur LNK failu, tiek izmantots, lai sāktu aizmugures durvju lejupielādi no Backblaze. Šī pieeja palīdzēja aptumšot viņu nodomus un kavēt analīzes centienus.

Pēc pētnieku domām, burvīgais kaķēns apzināti atdalīja atšifrēšanas metodi no sākotnējā koda un izvairījās to ierakstīt diskā. To darot, viņi pievienoja papildu darbības drošības līmeni. Atšifrēšanas metodes atsaiste no Command-and-Control (C2) servera kalpo kā aizsardzība pret turpmākiem mēģinājumiem atšifrēt atbilstošo POWERSTAR lietderīgo slodzi. Šī taktika efektīvi neļauj pretiniekiem piekļūt pilnai ļaunprātīgas programmatūras funkcionalitātei un ierobežo veiksmīgas atšifrēšanas iespējas ārpus Charming Kitten kontroles.

POWERSTAR nodrošina plašu apdraudošu funkciju klāstu

POWERSTAR aizmugures durvis lepojas ar plašu iespēju klāstu, kas ļauj tai attālināti izpildīt PowerShell un C# komandas. Turklāt tas atvieglo noturības izveidi, apkopo svarīgu sistēmas informāciju un ļauj lejupielādēt un izpildīt papildu moduļus. Šie moduļi kalpo dažādiem mērķiem, piemēram, darbojas procesu uzskaitīšanai, ekrānuzņēmumu tveršanai, failu meklēšanai ar noteiktiem paplašinājumiem un noturības komponentu integritātes uzraudzībai.

Turklāt, salīdzinot ar iepriekšējām versijām, tīrīšanas modulis ir būtiski uzlabots un paplašināts. Šis modulis ir īpaši izstrādāts, lai novērstu visas ļaunprogrammatūras klātbūtnes pēdas un izskaustu reģistra atslēgas, kas saistītas ar noturību. Šie uzlabojumi parāda Charming Kitten pastāvīgo apņemšanos uzlabot savas metodes un izvairīties no atklāšanas.

Pētnieki ir arī novērojuši atšķirīgu POWERSTAR variantu, kas izmanto atšķirīgu pieeju cietā kodēta C2 servera izgūšanai. Šis variants to panāk, dekodējot failu, kas glabājas decentralizētajā starpplanētu failu sistēmā (IPFS). Izmantojot šo metodi, burvīgā kaķēna mērķis ir stiprināt savas uzbrukuma infrastruktūras noturību un uzlabot tā spēju izvairīties no atklāšanas un mazināšanas pasākumiem.