POWERSTAR Bakdörr
The Charming Kitten, en statligt sponsrad grupp kopplad till Irans islamiska revolutionsgardet (IRGC), har identifierats som förövaren bakom en annan riktad spjutfiskekampanj. Denna kampanj innebär distribution av en uppdaterad variant av en omfattande PowerShell-bakdörr känd som POWERSTAR.
Den senaste versionen av POWERSTAR har förbättrats med förbättrade operativa säkerhetsåtgärder, vilket gör det betydligt mer utmanande för säkerhetsanalytiker och underrättelsebyråer att analysera och samla in information om skadlig programvara. Dessa säkerhetsåtgärder är utformade för att förhindra upptäckt och hindra ansträngningar att förstå bakdörrens inre funktioner.
Innehållsförteckning
Den charmiga kattungen cyberbrottslingar är mycket beroende av social ingenjörstaktik
Hot-aktörerna från Charming Kitten , även kända under olika andra namn som APT35, Cobalt Illusion, Mint Sandstorm (tidigare Phosphorus) och Yellow Garuda, har visat expertis i att utnyttja sociala ingenjörstekniker för att lura sina mål. De använder sofistikerad taktik, inklusive skapandet av anpassade falska personas på sociala medieplattformar och engagerar sig i långvariga konversationer för att skapa förtroende och relation. När en relation väl är etablerad skickar de strategiskt skadliga länkar till sina offer.
Utöver sin sociala ingenjörsförmåga har Charming Kitten utökat sin arsenal av intrångstekniker. De senaste attackerna som orkestrerats av gruppen har involverat utplacering av andra implantat, som PowerLess och BellaCiao. Detta indikerar att hotaktören besitter en mångfald av spionageverktyg som använder dem strategiskt för att uppnå sina strategiska mål. Denna mångsidighet gör att den charmiga kattungen kan anpassa sin taktik och teknik efter de specifika omständigheterna för varje operation.
POWERSTAR Bakdörrsinfektionsvektorer utvecklas
I attackkampanjen i maj 2023 använde Charming Kitten en smart strategi för att förbättra effektiviteten hos POWERSTAR malware. För att minska risken att utsätta sin dåliga kod för analys och upptäckt implementerade de en tvåstegsprocess. Inledningsvis används en lösenordsskyddad RAR-fil som innehåller en LNK-fil för att initiera nedladdningen av bakdörren från Backblaze. Detta tillvägagångssätt tjänade till att fördunkla deras avsikter och hindra analysansträngningar.
Enligt forskare separerade Charming Kitten avsiktligt dekrypteringsmetoden från den ursprungliga koden och undvek att skriva den till disk. Genom att göra det lade de till ett extra lager av driftsäkerhet. Avkopplingen av dekrypteringsmetoden från Command-and-Control-servern (C2) fungerar som ett skydd mot framtida försök att dekryptera motsvarande POWERSTAR-nyttolast. Denna taktik förhindrar effektivt motståndare från att få tillgång till alla funktioner hos skadlig programvara och begränsar potentialen för framgångsrik dekryptering utanför Charming Kittens kontroll.
POWERSTAR har ett brett utbud av hotfulla funktioner
POWERSTAR-bakdörren har ett omfattande utbud av funktioner som gör det möjligt för den att utföra fjärrexekvering av PowerShell- och C#-kommandon. Dessutom underlättar det etableringen av persistens, samlar in viktig systeminformation och möjliggör nedladdning och exekvering av ytterligare moduler. Dessa moduler tjänar olika syften, som att räkna upp pågående processer, ta skärmdumpar, söka efter filer med specifika tillägg och övervaka integriteten hos beständighetskomponenter.
Dessutom har rensningsmodulen genomgått betydande förbättringar och expansioner jämfört med tidigare versioner. Den här modulen är speciellt utformad för att eliminera alla spår av skadlig programvaras närvaro och utrota registernycklar som är förknippade med persistens. Dessa förbättringar visar Charming Kittens pågående engagemang för att förfina sina tekniker och undvika upptäckt.
Forskare har också observerat en annan variant av POWERSTAR som använder en distinkt metod för att hämta en hårdkodad C2-server. Denna variant uppnår detta genom att avkoda en fil lagrad på det decentraliserade InterPlanetary Filesystemet (IPFS). Genom att utnyttja den här metoden strävar Charming Kitten efter att stärka motståndskraften i sin attackinfrastruktur och förbättra dess förmåga att undvika upptäckt och begränsningsåtgärder.
