POWERSTAR Backdoor
Шармантно маче, група коју спонзорише држава, повезана са иранским Корпусом гарде исламске револуције (ИРГЦ), идентификована је као починилац још једне циљане кампање фишинга. Ова кампања укључује дистрибуцију ажуриране варијанте свеобухватног ПоверСхелл бацкдоор-а познатог као ПОВЕРСТАР.
Ова најновија верзија ПОВЕРСТАР-а је побољшана са побољшаним оперативним безбедносним мерама, што чини знатно изазовнијим за безбедносне аналитичаре и обавештајне агенције да анализирају и прикупе информације о малверу. Ове безбедносне мере су осмишљене да спрече откривање и ометају напоре да се разуме унутрашње функционисање бацкдоор-а.
Преглед садржаја
Шармантни мачићи сајбер криминалци се у великој мери ослањају на тактике друштвеног инжењеринга
Глумци претњи Цхарминг Киттен , такође познати под разним другим именима као што су АПТ35, Цобалт Иллусион, Минт Сандсторм (раније Пхоспхорус) и Иеллов Гаруда, показали су стручност у коришћењу техника друштвеног инжењеринга да би преварили своје мете. Они користе софистициране тактике, укључујући стварање прилагођених лажних личности на платформама друштвених медија и укључивање у продужене разговоре како би успоставили поверење и однос. Када се успостави веза, они стратешки шаљу злонамерне везе својим жртвама.
Поред своје вештине друштвеног инжењеринга, Шармантно маче је проширило свој арсенал техника упада. Недавни напади које је организовала група укључивали су постављање других имплантата, као што су ПоверЛесс и БеллаЦиао. Ово указује да актер претње поседује разноврстан опсег шпијунских алата, користећи их стратешки за постизање својих стратешких циљева. Ова свестраност омогућава шармантном мачету да прилагоди своју тактику и технике у складу са специфичним околностима сваке операције.
ПОВЕРСТАР бацкдоор вектори инфекције се развијају
У кампањи напада у мају 2023., Шармантно маче је користило паметну стратегију да побољша ефикасност ПОВЕРСТАР малвера. Да би ублажили ризик од излагања свог лошег кода анализи и откривању, имплементирали су процес у два корака. У почетку, РАР датотека заштићена лозинком која садржи ЛНК датотеку се користи за покретање преузимања бацкдоор-а са Бацкблазе-а. Овај приступ је послужио да замагли њихове намере и омета напоре анализе.
Према истраживачима, Шармантно маче намерно је одвојило методу дешифровања од иницијалног кода и избегавало да га запише на диск. Тиме су додали додатни слој оперативне сигурности. Одвајање методе дешифровања са сервера за команду и контролу (Ц2) служи као заштита од будућих покушаја дешифровања одговарајућег ПОВЕРСТАР корисног оптерећења. Ова тактика ефикасно спречава противнике да приступе пуној функционалности малвера и ограничава потенцијал за успешно дешифровање ван контроле Цхарминг Киттен-а.
ПОВЕРСТАР има широк спектар претећих функција
ПОВЕРСТАР бацкдоор се може похвалити широким спектром могућности које му омогућавају даљинско извршавање ПоверСхелл и Ц# команди. Поред тога, олакшава успостављање постојаности, прикупља виталне системске информације и омогућава преузимање и извршавање додатних модула. Ови модули служе у различите сврхе, као што су набрајање покренутих процеса, снимање снимака екрана, тражење датотека са одређеним екстензијама и праћење интегритета компоненти постојаности.
Штавише, модул за чишћење је претрпео значајна побољшања и проширења у поређењу са претходним верзијама. Овај модул је посебно дизајниран да елиминише све трагове присуства малвера и искорени кључеве регистратора који су повезани са постојаношћу. Ова побољшања показују сталну посвећеност Цхарминг Киттен-а да усавршава своје технике и избегава откривање.
Истраживачи су такође приметили другачију варијанту ПОВЕРСТАР-а која користи посебан приступ за преузимање тврдо кодираног Ц2 сервера. Ова варијанта то постиже декодирањем датотеке ускладиштене на децентрализованом међупланетарном систему датотека (ИПФС). Користећи ову методу, Цхарминг Киттен има за циљ да ојача отпорност своје инфраструктуре напада и побољша своју способност да избегне мере за откривање и ублажавање.
