POWERSTAR Backdoor
The Charming Kitten, një grup i sponsorizuar nga shteti i lidhur me Korpusin e Gardës Revolucionare Islamike të Iranit (IRGC), është identifikuar si autori i një fushate tjetër të shënjestruar të phishing me shtiza. Kjo fushatë përfshin shpërndarjen e një varianti të përditësuar të një porta të pasme gjithëpërfshirëse të PowerShell të njohur si POWERSTAR.
Ky version i fundit i POWERSTAR është përmirësuar me masa të përmirësuara të sigurisë operacionale, duke e bërë dukshëm më sfidues për analistët e sigurisë dhe agjencitë e inteligjencës analizimin dhe mbledhjen e informacionit rreth malware. Këto masa sigurie janë krijuar për të penguar zbulimin dhe penguar përpjekjet për të kuptuar funksionimin e brendshëm të derës së pasme.
Tabela e Përmbajtjes
Kriminelët kibernetikë të kotele simpatike mbështeten shumë në taktikat e inxhinierisë sociale
Aktorët e kërcënimit të Kitten Charming , të njohur edhe me emra të tjerë të ndryshëm si APT35, Illusion Cobalt, Mint Sandstorm (ish Fosfori) dhe Yellow Garuda, kanë demonstruar ekspertizë në përdorimin e teknikave të inxhinierisë sociale për të mashtruar objektivat e tyre. Ata përdorin taktika të sofistikuara, duke përfshirë krijimin e personave të rremë me porosi në platformat e mediave sociale dhe përfshirjen në biseda të gjata për të krijuar besim dhe raport. Pasi të krijohet një marrëdhënie, ata dërgojnë në mënyrë strategjike lidhje me qëllim të keq te viktimat e tyre.
Përveç aftësive të saj inxhinierike sociale, Kotele Nurshëm ka zgjeruar arsenalin e saj të teknikave të ndërhyrjes. Sulmet e fundit të orkestruara nga grupi kanë përfshirë vendosjen e implanteve të tjera, si PowerLess dhe BellaCiao. Kjo tregon se aktori i kërcënimit zotëron një gamë të larmishme mjetesh spiunazhi, duke i përdorur ato në mënyrë strategjike për të arritur objektivat e tyre strategjikë. Ky zhdërvjelltësi i lejon Koteles Simpatike të përshtatë taktikat dhe teknikat e tyre sipas rrethanave specifike të secilit operacion.
Vektorët e infeksionit të pasme nga POWERSTAR po evoluojnë
Në fushatën e sulmit të majit 2023, Kotele Charming përdori një strategji të zgjuar për të rritur efektivitetin e malware POWERSTAR. Për të zbutur rrezikun e ekspozimit të kodit të tyre të keq në analizë dhe zbulim, ata zbatuan një proces me dy hapa. Fillimisht, një skedar RAR i mbrojtur me fjalëkalim që përmban një skedar LNK përdoret për të nisur shkarkimin e derës së pasme nga Backblaze. Kjo qasje shërbeu për të turbulluar synimet e tyre dhe për të penguar përpjekjet e analizës.
Sipas studiuesve, Kotele Nurshëm e ndau qëllimisht metodën e deshifrimit nga kodi fillestar dhe shmangu shkrimin e saj në disk. Duke vepruar kështu, ata shtuan një shtresë shtesë të sigurisë operacionale. Shkëputja e metodës së deshifrimit nga serveri Command-and-Control (C2) shërben si një mbrojtje kundër përpjekjeve të ardhshme për të deshifruar ngarkesën përkatëse POWERSTAR. Kjo taktikë parandalon në mënyrë efektive kundërshtarët që të kenë akses në funksionalitetin e plotë të malware dhe kufizon potencialin për deshifrim të suksesshëm jashtë kontrollit të Kitten Charming.
POWERSTAR mbart një gamë të gjerë funksionesh kërcënuese
Backdoor POWERSTAR krenohet me një gamë të gjerë aftësish që e fuqizojnë atë për të kryer ekzekutimin në distancë të komandave PowerShell dhe C#. Për më tepër, ai lehtëson vendosjen e qëndrueshmërisë, mbledh informacion jetik të sistemit dhe mundëson shkarkimin dhe ekzekutimin e moduleve shtesë. Këto module shërbejnë për qëllime të ndryshme, të tilla si numërimi i proceseve të ekzekutimit, kapja e pamjeve të ekranit, kërkimi i skedarëve me zgjerime specifike dhe monitorimi i integritetit të komponentëve të qëndrueshmërisë.
Për më tepër, moduli i pastrimit ka pësuar përmirësime dhe zgjerime të konsiderueshme në krahasim me versionet e mëparshme. Ky modul është krijuar posaçërisht për të eliminuar të gjitha gjurmët e pranisë së malware dhe për të zhdukur çelësat e regjistrit që lidhen me qëndrueshmërinë. Këto përmirësime demonstrojnë përkushtimin e vazhdueshëm të Kitten Charming për të rafinuar teknikat e saj dhe për të shmangur zbulimin.
Studiuesit gjithashtu kanë vëzhguar një variant të ndryshëm të POWERSTAR që përdor një qasje të veçantë për të marrë një server C2 të koduar. Ky variant e arrin këtë duke deshifruar një skedar të ruajtur në sistemin e skedarëve ndërplanetar të decentralizuar (IPFS). Duke shfrytëzuar këtë metodë, Kotele Charming synon të forcojë qëndrueshmërinë e infrastrukturës së saj të sulmit dhe të përmirësojë aftësinë e saj për të shmangur zbulimin dhe masat zbutëse.
