POWERSTAR Backdoor
ఇరాన్ యొక్క ఇస్లామిక్ రివల్యూషనరీ గార్డ్ కార్ప్స్ (IRGC)కి అనుసంధానించబడిన ఒక రాష్ట్ర-ప్రాయోజిత సమూహం చార్మింగ్ కిట్టెన్, మరొక లక్ష్య స్పియర్-ఫిషింగ్ ప్రచారం వెనుక నేరస్థుడిగా గుర్తించబడింది. ఈ ప్రచారంలో POWERSTAR అని పిలువబడే సమగ్ర PowerShell బ్యాక్డోర్ యొక్క నవీకరించబడిన వేరియంట్ పంపిణీ ఉంటుంది.
POWERSTAR యొక్క ఈ తాజా వెర్షన్ మెరుగైన కార్యాచరణ భద్రతా చర్యలతో మెరుగుపరచబడింది, ఇది భద్రతా విశ్లేషకులు మరియు గూఢచార సంస్థలకు మాల్వేర్ గురించి విశ్లేషించడం మరియు సమాచారాన్ని సేకరించడం చాలా సవాలుగా మారింది. ఈ భద్రతా చర్యలు గుర్తించడాన్ని నిరోధించడానికి మరియు బ్యాక్డోర్ యొక్క అంతర్గత పనితీరును అర్థం చేసుకునే ప్రయత్నాలను అడ్డుకోవడానికి రూపొందించబడ్డాయి.
విషయ సూచిక
మనోహరమైన కిట్టెన్ సైబర్ నేరస్థులు సామాజిక ఇంజనీరింగ్ వ్యూహాలపై ఎక్కువగా ఆధారపడతారు
APT35, కోబాల్ట్ ఇల్యూజన్, మింట్ సాండ్స్టార్మ్ (గతంలో భాస్వరం) మరియు ఎల్లో గరుడ వంటి అనేక ఇతర పేర్లతో కూడా పిలవబడే చార్మింగ్ కిట్టెన్ ముప్పు నటులు తమ లక్ష్యాలను మోసగించడానికి సామాజిక ఇంజనీరింగ్ పద్ధతులను ఉపయోగించుకోవడంలో నైపుణ్యాన్ని ప్రదర్శించారు. వారు సోషల్ మీడియా ప్లాట్ఫారమ్లలో కస్టమ్ ఫేక్ పర్సనాలను సృష్టించడం మరియు నమ్మకం మరియు సంబంధాన్ని ఏర్పరచుకోవడానికి సుదీర్ఘ సంభాషణలలో పాల్గొనడం వంటి అధునాతన వ్యూహాలను ఉపయోగిస్తారు. సంబంధం ఏర్పడిన తర్వాత, వారు వ్యూహాత్మకంగా వారి బాధితులకు హానికరమైన లింక్లను పంపుతారు.
దాని సోషల్ ఇంజినీరింగ్ నైపుణ్యంతో పాటు, చార్మింగ్ కిట్టెన్ దాని చొరబాటు పద్ధతుల ఆయుధశాలను విస్తరించింది. సమూహంచే నిర్వహించబడిన ఇటీవలి దాడులు పవర్లెస్ మరియు బెల్లాసియావో వంటి ఇతర ఇంప్లాంట్ల విస్తరణను కలిగి ఉన్నాయి. బెదిరింపు నటుడు విభిన్నమైన గూఢచర్య సాధనాలను కలిగి ఉంటాడని, వారి వ్యూహాత్మక లక్ష్యాలను సాధించడానికి వాటిని వ్యూహాత్మకంగా ఉపయోగిస్తాడని ఇది సూచిస్తుంది. ఈ బహుముఖ ప్రజ్ఞ ప్రతి ఆపరేషన్ యొక్క నిర్దిష్ట పరిస్థితులకు అనుగుణంగా వారి వ్యూహాలు మరియు సాంకేతికతలను స్వీకరించడానికి మనోహరమైన పిల్లిని అనుమతిస్తుంది.
POWERSTAR బ్యాక్డోర్ ఇన్ఫెక్షన్ వెక్టర్స్ అభివృద్ధి చెందుతున్నాయి
మే 2023 దాడి ప్రచారంలో, POWERSTAR మాల్వేర్ ప్రభావాన్ని మెరుగుపరచడానికి చార్మింగ్ కిట్టెన్ ఒక తెలివైన వ్యూహాన్ని ఉపయోగించింది. విశ్లేషణ మరియు గుర్తింపుకు వారి చెడు కోడ్ను బహిర్గతం చేసే ప్రమాదాన్ని తగ్గించడానికి, వారు రెండు-దశల ప్రక్రియను అమలు చేశారు. ప్రారంభంలో, బ్యాక్బ్లేజ్ నుండి బ్యాక్డోర్ డౌన్లోడ్ను ప్రారంభించడానికి LNK ఫైల్ను కలిగి ఉన్న పాస్వర్డ్-రక్షిత RAR ఫైల్ ఉపయోగించబడుతుంది. ఈ విధానం వారి ఉద్దేశాలను అస్పష్టం చేయడానికి మరియు విశ్లేషణ ప్రయత్నాలను అడ్డుకోవడానికి ఉపయోగపడింది.
పరిశోధకుల అభిప్రాయం ప్రకారం, చార్మింగ్ కిట్టెన్ ఉద్దేశపూర్వకంగా ప్రారంభ కోడ్ నుండి డిక్రిప్షన్ పద్ధతిని వేరు చేసింది మరియు దానిని డిస్క్లో వ్రాయకుండా నివారించింది. అలా చేయడం ద్వారా, వారు కార్యాచరణ భద్రత యొక్క అదనపు పొరను జోడించారు. కమాండ్-అండ్-కంట్రోల్ (C2) సర్వర్ నుండి డిక్రిప్షన్ పద్ధతి యొక్క డీకప్లింగ్ సంబంధిత POWERSTAR పేలోడ్ను డీక్రిప్ట్ చేయడానికి భవిష్యత్తులో చేసే ప్రయత్నాలకు వ్యతిరేకంగా రక్షణగా పనిచేస్తుంది. ఈ వ్యూహం ప్రత్యర్థులను మాల్వేర్ యొక్క పూర్తి కార్యాచరణను యాక్సెస్ చేయకుండా ప్రభావవంతంగా నిరోధిస్తుంది మరియు చార్మింగ్ కిట్టెన్ నియంత్రణ వెలుపల విజయవంతమైన డిక్రిప్షన్ సంభావ్యతను పరిమితం చేస్తుంది.
POWERSTAR బెదిరింపు ఫంక్షన్ల విస్తృత శ్రేణిని కలిగి ఉంది
పవర్స్టార్ బ్యాక్డోర్ విస్తృతమైన సామర్థ్యాలను కలిగి ఉంది, అది PowerShell మరియు C# కమాండ్ల రిమోట్ అమలును నిర్వహించడానికి శక్తినిస్తుంది. అదనంగా, ఇది నిలకడ యొక్క స్థాపనను సులభతరం చేస్తుంది, కీలకమైన సిస్టమ్ సమాచారాన్ని సేకరిస్తుంది మరియు అదనపు మాడ్యూల్స్ యొక్క డౌన్లోడ్ మరియు అమలును ప్రారంభిస్తుంది. ఈ మాడ్యూల్స్ రన్నింగ్ ప్రాసెస్లను లెక్కించడం, స్క్రీన్షాట్లను క్యాప్చర్ చేయడం, నిర్దిష్ట ఎక్స్టెన్షన్లతో ఫైల్ల కోసం శోధించడం మరియు పెర్సిస్టెన్స్ కాంపోనెంట్ల సమగ్రతను పర్యవేక్షించడం వంటి వివిధ ప్రయోజనాలను అందిస్తాయి.
ఇంకా, క్లీనప్ మాడ్యూల్ మునుపటి సంస్కరణలతో పోలిస్తే గణనీయమైన మెరుగుదలలు మరియు విస్తరణలకు గురైంది. ఈ మాడ్యూల్ ప్రత్యేకంగా మాల్వేర్ ఉనికి యొక్క అన్ని జాడలను తొలగించడానికి మరియు నిలకడతో అనుబంధించబడిన రిజిస్ట్రీ కీలను నిర్మూలించడానికి రూపొందించబడింది. ఈ మెరుగుదలలు దాని సాంకేతికతలను మెరుగుపరచడంలో మరియు గుర్తించకుండా తప్పించుకోవడంలో చార్మింగ్ కిట్టెన్ యొక్క కొనసాగుతున్న నిబద్ధతను ప్రదర్శిస్తాయి.
హార్డ్-కోడెడ్ C2 సర్వర్ను తిరిగి పొందేందుకు ప్రత్యేకమైన విధానాన్ని ఉపయోగించే POWERSTAR యొక్క విభిన్న రూపాంతరాన్ని పరిశోధకులు కూడా గమనించారు. వికేంద్రీకృత ఇంటర్ప్లానెటరీ ఫైల్సిస్టమ్ (IPFS)లో నిల్వ చేయబడిన ఫైల్ను డీకోడ్ చేయడం ద్వారా ఈ రూపాంతరం దీనిని సాధిస్తుంది. ఈ పద్ధతిని ఉపయోగించుకోవడం ద్వారా, చార్మింగ్ కిట్టెన్ దాని దాడి మౌలిక సదుపాయాల యొక్క స్థితిస్థాపకతను పెంపొందించడం మరియు గుర్తించే మరియు ఉపశమన చర్యలను తప్పించుకునే సామర్థ్యాన్ని మెరుగుపరచడం లక్ష్యంగా పెట్టుకుంది.