Pintu Belakang POWERSTAR
The Charming Kitten, kumpulan tajaan kerajaan yang dikaitkan dengan Kor Pengawal Revolusi Islam Iran (IRGC), telah dikenal pasti sebagai pelaku di sebalik satu lagi kempen pancingan lembing yang disasarkan. Kempen ini melibatkan pengedaran varian terkini pintu belakang PowerShell komprehensif yang dikenali sebagai POWERSTAR.
Versi terbaru POWERSTAR ini telah dipertingkatkan dengan langkah keselamatan operasi yang dipertingkatkan, menjadikannya lebih mencabar bagi penganalisis keselamatan dan agensi perisikan untuk menganalisis dan mengumpulkan maklumat tentang perisian hasad. Langkah keselamatan ini direka untuk menggagalkan pengesanan dan menghalang usaha untuk memahami kerja dalaman pintu belakang.
Isi kandungan
Penjenayah Siber Kucing Menawan Sangat Bergantung pada Taktik Kejuruteraan Sosial
Pelakon ancaman Charming Kitten , juga dikenali dengan pelbagai nama lain seperti APT35, Cobalt Illusion, Mint Sandstorm (dahulunya Phosphorus), dan Yellow Garuda, telah menunjukkan kepakaran dalam memanfaatkan teknik kejuruteraan sosial untuk memperdaya sasaran mereka. Mereka menggunakan taktik yang canggih, termasuk penciptaan persona palsu tersuai di platform media sosial dan terlibat dalam perbualan berpanjangan untuk mewujudkan kepercayaan dan hubungan. Sebaik sahaja hubungan terjalin, mereka menghantar pautan berniat jahat secara strategik kepada mangsa mereka.
Selain kehebatan kejuruteraan sosialnya, Charming Kitten telah mengembangkan senjata teknik pencerobohannya. Serangan terbaru yang didalangi oleh kumpulan itu telah melibatkan penggunaan implan lain, seperti PowerLess dan BellaCiao. Ini menunjukkan bahawa aktor ancaman mempunyai pelbagai jenis alat pengintipan, menggunakannya secara strategik untuk mencapai objektif strategik mereka. Fleksibiliti ini membolehkan Kucing Menawan menyesuaikan taktik dan teknik mereka mengikut keadaan khusus setiap operasi.
Vektor Jangkitan Pintu Belakang POWERSTAR Berkembang
Dalam kempen serangan Mei 2023, Charming Kitten menggunakan strategi bijak untuk meningkatkan keberkesanan perisian hasad POWERSTAR. Untuk mengurangkan risiko mendedahkan kod buruk mereka kepada analisis dan pengesanan, mereka melaksanakan proses dua langkah. Pada mulanya, fail RAR yang dilindungi kata laluan yang mengandungi fail LNK digunakan untuk memulakan muat turun pintu belakang dari Backblaze. Pendekatan ini berfungsi untuk mengaburkan niat mereka dan menghalang usaha analisis.
Menurut penyelidik, Charming Kitten sengaja memisahkan kaedah penyahsulitan daripada kod awal dan mengelak daripada menulisnya ke cakera. Dengan berbuat demikian, mereka menambah lapisan keselamatan operasi tambahan. Penyahgandingan kaedah penyahsulitan daripada pelayan Command-and-Control (C2) berfungsi sebagai perlindungan terhadap percubaan akan datang untuk menyahsulit muatan POWERSTAR yang sepadan. Taktik ini berkesan menghalang musuh daripada mengakses kefungsian penuh perisian hasad dan mengehadkan potensi penyahsulitan yang berjaya di luar kawalan Charming Kitten.
POWERSTAR Membawa Pelbagai Fungsi Mengancam
Pintu belakang POWERSTAR menawarkan rangkaian luas keupayaan yang memperkasakannya untuk menjalankan pelaksanaan jauh perintah PowerShell dan C#. Selain itu, ia memudahkan penubuhan kegigihan, mengumpul maklumat sistem penting, dan membolehkan muat turun dan pelaksanaan modul tambahan. Modul ini menyediakan pelbagai tujuan, seperti menghitung proses yang sedang berjalan, menangkap tangkapan skrin, mencari fail dengan sambungan tertentu dan memantau integriti komponen kegigihan.
Tambahan pula, modul pembersihan telah mengalami peningkatan dan pengembangan yang ketara berbanding versi sebelumnya. Modul ini direka khusus untuk menghapuskan semua kesan kehadiran perisian hasad dan menghapuskan kunci pendaftaran yang dikaitkan dengan kegigihan. Penambahbaikan ini menunjukkan komitmen berterusan Charming Kitten untuk memperhalusi tekniknya dan mengelakkan pengesanan.
Penyelidik juga telah memerhatikan varian berbeza POWERSTAR yang menggunakan pendekatan berbeza untuk mendapatkan semula pelayan C2 berkod keras. Varian ini mencapai ini dengan menyahkod fail yang disimpan pada Sistem Fail InterPlanet (IPFS) terdesentralisasi. Dengan memanfaatkan kaedah ini, Charming Kitten bertujuan untuk meningkatkan daya tahan infrastruktur serangannya dan meningkatkan keupayaannya untuk mengelak langkah pengesanan dan mitigasi.
