ประตูหลัง POWERSTAR
The Charming Kitten ซึ่งเป็นกลุ่มที่ได้รับการสนับสนุนจากรัฐซึ่งเชื่อมโยงกับกองกำลังพิทักษ์การปฏิวัติอิสลามของอิหร่าน (IRGC) ถูกระบุว่าเป็นผู้กระทำความผิดที่อยู่เบื้องหลังแคมเปญฟิชชิ่งแบบสเปียร์อีกเป้าหมายหนึ่ง แคมเปญนี้เกี่ยวข้องกับการแจกจ่ายแบ็คดอร์ PowerShell ที่ครอบคลุมรุ่นปรับปรุงที่รู้จักในชื่อ POWERSTAR
POWERSTAR เวอร์ชันล่าสุดนี้ได้รับการปรับปรุงด้วยมาตรการรักษาความปลอดภัยในการดำเนินงานที่ได้รับการปรับปรุง ทำให้นักวิเคราะห์ด้านความปลอดภัยและหน่วยงานข่าวกรองมีความท้าทายมากขึ้นในการวิเคราะห์และรวบรวมข้อมูลเกี่ยวกับมัลแวร์ มาตรการรักษาความปลอดภัยเหล่านี้ออกแบบมาเพื่อขัดขวางการตรวจจับและขัดขวางความพยายามในการทำความเข้าใจการทำงานภายในของประตูหลัง
สารบัญ
อาชญากรไซเบอร์ลูกแมวเจ้าเสน่ห์พึ่งพากลยุทธ์วิศวกรรมสังคมเป็นอย่างมาก
ผู้คุกคาม The Charming Kitten หรือที่รู้จักในชื่ออื่นๆ เช่น APT35, Cobalt Illusion, Mint Sandstorm (เดิมชื่อ Phosphorus) และ Yellow Garuda ได้แสดงความเชี่ยวชาญในการใช้เทคนิควิศวกรรมสังคมเพื่อหลอกลวงเป้าหมาย พวกเขาใช้กลยุทธ์ที่ซับซ้อน รวมถึงการสร้างตัวตนปลอมที่กำหนดเองบนแพลตฟอร์มโซเชียลมีเดีย และมีส่วนร่วมในการสนทนาที่ยืดเยื้อเพื่อสร้างความไว้วางใจและสายสัมพันธ์ เมื่อสร้างความสัมพันธ์แล้ว พวกเขาจะส่งลิงค์ที่เป็นอันตรายไปยังเหยื่ออย่างมีกลยุทธ์
นอกเหนือจากความสามารถด้านวิศวกรรมสังคมแล้ว ลูกแมวชาร์มมิ่งยังได้ขยายคลังแสงของเทคนิคการบุกรุก การโจมตีล่าสุดที่จัดทำโดยกลุ่มนี้เกี่ยวข้องกับการใช้งานของรากฟันเทียมอื่น ๆ เช่น PowerLess และ BellaCiao สิ่งนี้บ่งชี้ว่าผู้ก่อภัยคุกคามมีเครื่องมือจารกรรมที่หลากหลาย ใช้อย่างมีกลยุทธ์เพื่อให้บรรลุวัตถุประสงค์เชิงกลยุทธ์ ความเก่งกาจนี้ทำให้ Charming Kitten สามารถปรับกลวิธีและเทคนิคตามสถานการณ์เฉพาะของปฏิบัติการแต่ละครั้ง
เวกเตอร์การติดเชื้อแบ็คดอร์ของ POWERSTAR กำลังพัฒนา
ในแคมเปญโจมตีเดือนพฤษภาคม 2023 Charming Kitten ใช้กลยุทธ์อันชาญฉลาดเพื่อเพิ่มประสิทธิภาพให้กับมัลแวร์ POWERSTAR เพื่อลดความเสี่ยงในการเปิดเผยรหัสที่ไม่ถูกต้องต่อการวิเคราะห์และตรวจจับ พวกเขาใช้กระบวนการสองขั้นตอน ในขั้นต้น ไฟล์ RAR ที่ป้องกันด้วยรหัสผ่านซึ่งมีไฟล์ LNK จะถูกใช้เพื่อเริ่มต้นการดาวน์โหลดประตูหลังจาก Backblaze วิธีการนี้ทำให้ความตั้งใจของพวกเขาสับสนและขัดขวางความพยายามในการวิเคราะห์
ตามที่นักวิจัยระบุว่า Charming Kitten จงใจแยกวิธีการถอดรหัสออกจากรหัสเริ่มต้นและหลีกเลี่ยงการเขียนลงดิสก์ ด้วยการทำเช่นนั้น พวกเขาได้เพิ่มการรักษาความปลอดภัยในการปฏิบัติงานอีกชั้นหนึ่ง การแยกวิธีการถอดรหัสจากเซิร์ฟเวอร์ Command-and-Control (C2) ทำหน้าที่เป็นตัวป้องกันความพยายามในอนาคตในการถอดรหัสเพย์โหลด POWERSTAR ที่สอดคล้องกัน กลยุทธ์นี้ช่วยป้องกันผู้ไม่หวังดีจากการเข้าถึงการทำงานเต็มรูปแบบของมัลแวร์ได้อย่างมีประสิทธิภาพ และจำกัดศักยภาพในการถอดรหัสสำเร็จนอกเหนือการควบคุมของ Charming Kitten
POWERSTAR มีฟังก์ชั่นการคุกคามที่หลากหลาย
แบ็คดอร์ POWERSTAR มีความสามารถที่หลากหลายที่ช่วยให้สามารถดำเนินการคำสั่ง PowerShell และ C# จากระยะไกลได้ นอกจากนี้ยังช่วยอำนวยความสะดวกในการสร้างการคงอยู่ รวบรวมข้อมูลระบบที่สำคัญ และเปิดใช้งานการดาวน์โหลดและการดำเนินการของโมดูลเพิ่มเติม โมดูลเหล่านี้รองรับวัตถุประสงค์ต่างๆ เช่น การระบุกระบวนการที่กำลังทำงานอยู่ การจับภาพหน้าจอ การค้นหาไฟล์ที่มีนามสกุลเฉพาะ และการตรวจสอบความสมบูรณ์ของส่วนประกอบการคงอยู่
นอกจากนี้ โมดูลการล้างข้อมูลยังผ่านการปรับปรุงและขยายที่สำคัญเมื่อเทียบกับเวอร์ชันก่อนหน้า โมดูลนี้ได้รับการออกแบบมาโดยเฉพาะเพื่อกำจัดร่องรอยการมีอยู่ของมัลแวร์ทั้งหมด และกำจัดรีจิสตรีคีย์ที่เกี่ยวข้องกับการคงอยู่ การปรับปรุงเหล่านี้แสดงให้เห็นถึงความมุ่งมั่นอย่างต่อเนื่องของ Charming Kitten ในการปรับปรุงเทคนิคและหลบเลี่ยงการตรวจจับ
นักวิจัยยังได้สังเกต POWERSTAR รุ่นต่างๆ ที่ใช้วิธีการที่แตกต่างกันในการดึงข้อมูลเซิร์ฟเวอร์ C2 แบบฮาร์ดโค้ด ตัวแปรนี้ทำได้โดยการถอดรหัสไฟล์ที่จัดเก็บไว้ในระบบไฟล์ InterPlanetary แบบกระจายอำนาจ (IPFS) ด้วยการใช้ประโยชน์จากวิธีนี้ Charming Kitten มีจุดมุ่งหมายเพื่อเพิ่มความยืดหยุ่นของโครงสร้างพื้นฐานการโจมตีและเพิ่มความสามารถในการหลบเลี่ยงการตรวจจับและมาตรการลดผลกระทบ
