POWERSTAR Backdoor
Ang Charming Kitten, isang grupong inisponsor ng estado na naka-link sa Islamic Revolutionary Guard Corps (IRGC) ng Iran, ay kinilala bilang ang may kasalanan sa likod ng isa pang target na spear-phishing na kampanya. Kasama sa campaign na ito ang pamamahagi ng na-update na variant ng isang komprehensibong backdoor ng PowerShell na kilala bilang POWERSTAR.
Ang pinakabagong bersyon na ito ng POWERSTAR ay pinahusay na may pinahusay na mga hakbang sa seguridad sa pagpapatakbo, na ginagawang mas mahirap para sa mga analyst ng seguridad at mga ahensya ng paniktik na suriin at mangalap ng impormasyon tungkol sa malware. Ang mga hakbang sa seguridad na ito ay idinisenyo upang hadlangan ang pagtuklas at hadlangan ang mga pagsisikap na maunawaan ang panloob na mga gawain ng backdoor.
Talaan ng mga Nilalaman
Ang Kaakit-akit na Kuting Cybercriminals Lubos na Umaasa sa Social Engineering Tactics
Ang Charming Kitten threat actors, na kilala rin sa iba't ibang pangalan gaya ng APT35, Cobalt Illusion, Mint Sandstorm (dating Phosphorus), at Yellow Garuda, ay nagpakita ng kadalubhasaan sa paggamit ng mga social engineering techniques para linlangin ang kanilang mga target. Gumagamit sila ng mga sopistikadong taktika, kabilang ang paglikha ng mga custom na pekeng persona sa mga platform ng social media at nakikisali sa matagal na pag-uusap upang magtatag ng tiwala at kaugnayan. Kapag naitatag na ang isang relasyon, madiskarteng nagpapadala sila ng mga nakakahamak na link sa kanilang mga biktima.
Bilang karagdagan sa husay nito sa social engineering, pinalawak ng Charming Kitten ang arsenal nito ng mga diskarte sa panghihimasok. Ang mga kamakailang pag-atake na inayos ng grupo ay nagsasangkot ng pag-deploy ng iba pang mga implant, tulad ng PowerLess at BellaCiao. Ipinahihiwatig nito na ang aktor ng pagbabanta ay nagtataglay ng magkakaibang hanay ng mga tool sa espiya, na ginagamit ang mga ito sa madiskarteng paraan upang makamit ang kanilang mga madiskarteng layunin. Ang versatility na ito ay nagbibigay-daan sa Charming Kitten na iakma ang kanilang mga taktika at diskarte ayon sa mga partikular na pangyayari ng bawat operasyon.
Ang mga Vector ng Impeksyon sa Backdoor ng POWERSTAR ay Umuunlad
Noong Mayo 2023 na kampanya sa pag-atake, gumamit ang Charming Kitten ng isang matalinong diskarte para mapahusay ang pagiging epektibo ng POWERSTAR malware. Upang mabawasan ang panganib na ilantad ang kanilang masamang code sa pagsusuri at pagtuklas, nagpatupad sila ng dalawang hakbang na proseso. Sa una, ang isang RAR file na protektado ng password na naglalaman ng isang LNK file ay ginagamit upang simulan ang pag-download ng backdoor mula sa Backblaze. Ang pamamaraang ito ay nagsilbi upang malabo ang kanilang mga intensyon at hadlangan ang mga pagsusumikap sa pagsusuri.
Ayon sa mga mananaliksik, sinadyang ihiwalay ng Charming Kitten ang paraan ng pag-decryption mula sa paunang code at iniwasang isulat ito sa disk. Sa paggawa nito, nagdagdag sila ng karagdagang layer ng seguridad sa pagpapatakbo. Ang pag-decoupling ng paraan ng pag-decryption mula sa Command-and-Control (C2) server ay nagsisilbing pananggalang laban sa mga pagtatangka sa hinaharap na i-decrypt ang kaukulang POWERSTAR payload. Ang taktikang ito ay epektibong humahadlang sa mga kalaban na ma-access ang buong functionality ng malware at nililimitahan ang potensyal para sa matagumpay na pag-decryption sa labas ng kontrol ng Charming Kitten.
Ang POWERSTAR ay May Malawak na Saklaw ng Mga Pagbabantang Paggana
Ipinagmamalaki ng POWERSTAR backdoor ang malawak na hanay ng mga kakayahan na nagbibigay-kapangyarihan dito upang magsagawa ng malayuang pagpapatupad ng mga utos ng PowerShell at C#. Bukod pa rito, pinapadali nito ang pagtatatag ng pagtitiyaga, nangongolekta ng mahahalagang impormasyon ng system, at nagbibigay-daan sa pag-download at pagpapatupad ng mga karagdagang module. Ang mga module na ito ay nagsisilbi sa iba't ibang layunin, tulad ng pag-enumerate ng mga tumatakbong proseso, pagkuha ng mga screenshot, paghahanap ng mga file na may mga partikular na extension, at pagsubaybay sa integridad ng mga bahagi ng pagtitiyaga.
Higit pa rito, ang module ng paglilinis ay sumailalim sa mga makabuluhang pagpapabuti at pagpapalawak kumpara sa mga nakaraang bersyon. Ang module na ito ay partikular na idinisenyo upang alisin ang lahat ng bakas ng presensya ng malware at puksain ang mga registry key na nauugnay sa pagtitiyaga. Ang mga pagpapahusay na ito ay nagpapakita ng patuloy na pangako ng Charming Kitten sa pagpino ng mga diskarte nito at pag-iwas sa pagtuklas.
Naobserbahan din ng mga mananaliksik ang ibang variant ng POWERSTAR na gumagamit ng kakaibang diskarte para makuha ang isang hard-coded na C2 server. Nakakamit ito ng variant na ito sa pamamagitan ng pag-decode ng isang file na nakaimbak sa desentralisadong InterPlanetary Filesystem (IPFS). Sa pamamagitan ng paggamit sa paraang ito, nilalayon ng Charming Kitten na palakasin ang katatagan ng imprastraktura ng pag-atake nito at pahusayin ang kakayahang iwasan ang mga hakbang sa pagtuklas at pagpapagaan.
