POWERSTAR Backdoor
The Charming Kitten, un grup sponsorizat de stat, legat de Corpul Gărzilor Revoluționare Islamice (IRGC) din Iran, a fost identificat drept autorul unei alte campanii de spear-phishing. Această campanie implică distribuirea unei variante actualizate a unei uși din spate PowerShell cuprinzătoare, cunoscută sub numele de POWERSTAR.
Această ultimă versiune a POWERSTAR a fost îmbunătățită cu măsuri de securitate operaționale îmbunătățite, ceea ce face considerabil mai dificil pentru analiștii de securitate și agențiile de informații să analizeze și să culeagă informații despre malware. Aceste măsuri de securitate sunt concepute pentru a împiedica detectarea și a împiedica eforturile de a înțelege funcționarea interioară a ușii din spate.
Cuprins
Pisicuța fermecătoare Infractorii cibernetici se bazează foarte mult pe tacticile de inginerie socială
Actorii amenințărilor Charming Kitten , cunoscuți și sub diverse alte nume, cum ar fi APT35, Cobalt Illusion, Mint Sandstorm (fost Phosphorus) și Yellow Garuda, au demonstrat experiență în folosirea tehnicilor de inginerie socială pentru a-și înșela țintele. Ei folosesc tactici sofisticate, inclusiv crearea de persoane false personalizate pe platformele de social media și angajarea în conversații prelungite pentru a stabili încredere și relație. Odată ce o relație este stabilită, ei trimit strategic link-uri rău intenționate victimelor lor.
În plus față de priceperea sa în inginerie socială, Pisicuța Fermecătoare și-a extins arsenalul de tehnici de intruziune. Atacurile recente orchestrate de grup au implicat desfășurarea altor implanturi, precum PowerLess și BellaCiao. Acest lucru indică faptul că actorul amenințării posedă o gamă diversă de instrumente de spionaj, utilizându-le strategic pentru a-și atinge obiectivele strategice. Această versatilitate permite Pisicuței Fermecătoare să își adapteze tacticile și tehnicile în funcție de circumstanțele specifice fiecărei operațiuni.
Vectorii de infecție POWERSTAR Backdoor evoluează
În campania de atac din mai 2023, Charming Kitten a folosit o strategie inteligentă pentru a spori eficiența malware-ului POWERSTAR. Pentru a atenua riscul de a-și expune codul prost la analiză și detectare, au implementat un proces în doi pași. Inițial, un fișier RAR protejat prin parolă care conține un fișier LNK este utilizat pentru a iniția descărcarea ușii din Backblaze. Această abordare a servit la înfundarea intențiilor lor și la împiedicarea eforturilor de analiză.
Potrivit cercetătorilor, Pisicuța Fermecătoare a separat în mod intenționat metoda de decriptare de codul inițial și a evitat să-l scrie pe disc. Procedând astfel, au adăugat un nivel suplimentar de securitate operațională. Decuplarea metodei de decriptare de la serverul Command-and-Control (C2) servește drept protecție împotriva încercărilor viitoare de a decripta încărcătura utilă POWERSTAR corespunzătoare. Această tactică împiedică în mod eficient adversarii să acceseze întreaga funcționalitate a malware-ului și limitează potențialul de decriptare cu succes în afara controlului Charming Kitten.
POWERSTAR are o gamă largă de funcții amenințătoare
Ușa din spate POWERSTAR se mândrește cu o gamă extinsă de capabilități care îi permit să efectueze execuția de la distanță a comenzilor PowerShell și C#. În plus, facilitează stabilirea persistenței, colectează informații vitale despre sistem și permite descărcarea și executarea modulelor suplimentare. Aceste module servesc diverselor scopuri, cum ar fi enumerarea proceselor care rulează, capturarea de capturi de ecran, căutarea fișierelor cu extensii specifice și monitorizarea integrității componentelor de persistență.
În plus, modulul de curățare a suferit îmbunătățiri și extinderi semnificative în comparație cu versiunile anterioare. Acest modul este conceput special pentru a elimina toate urmele prezenței malware-ului și a eradica cheile de registry asociate cu persistența. Aceste îmbunătățiri demonstrează angajamentul permanent al Charming Kitten de a-și perfecționa tehnicile și de a evita detectarea.
Cercetătorii au observat, de asemenea, o variantă diferită a POWERSTAR care folosește o abordare distinctă pentru a prelua un server C2 codificat. Această variantă realizează acest lucru prin decodarea unui fișier stocat pe sistemul de fișiere interplanetar descentralizat (IPFS). Folosind această metodă, Pisicuța Fermecătoare își propune să sporească rezistența infrastructurii sale de atac și să-și sporească capacitatea de a evita măsurile de detectare și atenuare.
