Бекдор POWERSTAR
The Charming Kitten, спонсорована державою група, пов’язана з Корпусом вартових ісламської революції (IRGC), була ідентифікована як зловмисник іншої цілеспрямованої фішингової кампанії. Ця кампанія передбачає розповсюдження оновленого варіанту комплексного бекдору PowerShell, відомого як POWERSTAR.
Ця остання версія POWERSTAR була покращена за допомогою покращених заходів безпеки, що значно ускладнює аналітикам безпеки та спецслужбам аналіз і збір інформації про зловмисне програмне забезпечення. Ці заходи безпеки призначені для того, щоб перешкодити виявленню та спробам зрозуміти внутрішню роботу бекдору.
Зміст
Чарівне кошеня Кіберзлочинці значною мірою покладаються на тактику соціальної інженерії
Актори загрози Charming Kitten , також відомі під різними іменами, такими як APT35, Cobalt Illusion, Mint Sandstorm (раніше Phosphorus) і Yellow Garuda, продемонстрували досвід у використанні методів соціальної інженерії, щоб обдурити своїх цілей. Вони використовують витончену тактику, включаючи створення власних підроблених персонажів на платформах соціальних мереж і участь у тривалих розмовах для встановлення довіри та взаєморозуміння. Після встановлення відносин вони стратегічно надсилають шкідливі посилання своїм жертвам.
На додаток до своєї майстерності соціальної інженерії Чарівне кошеня розширило свій арсенал методів вторгнення. Недавні атаки, організовані групою, включали розгортання інших імплантатів, таких як PowerLess і BellaCiao. Це вказує на те, що суб’єкт загрози володіє різноманітними інструментами шпигунства, стратегічно використовуючи їх для досягнення своїх стратегічних цілей. Ця універсальність дозволяє Чарівному кошеняті адаптувати свою тактику та техніку відповідно до конкретних обставин кожної операції.
Переносники бекдор-інфекції POWERSTAR розвиваються
Під час атаки в травні 2023 року Charming Kitten застосував розумну стратегію для підвищення ефективності шкідливого програмного забезпечення POWERSTAR. Щоб знизити ризик аналізу та виявлення поганого коду, вони запровадили двоетапний процес. Спочатку захищений паролем файл RAR, що містить файл LNK, використовується для ініціювання завантаження бекдора з Backblaze. Такий підхід слугував для того, щоб заплутати їхні наміри та перешкодити аналізу.
За словами дослідників, Чарівне кошеня навмисно відокремило метод розшифровки від початкового коду та уникало його запису на диск. Таким чином вони додали додатковий рівень операційної безпеки. Відокремлення методу дешифрування від сервера Command-and-Control (C2) служить захистом від майбутніх спроб дешифрувати відповідне корисне навантаження POWERSTAR. Ця тактика ефективно запобігає доступу зловмисників до повної функціональності зловмисного програмного забезпечення та обмежує потенціал для успішного розшифрування поза контролем Charming Kitten.
POWERSTAR виконує широкий спектр небезпечних функцій
Бекдор POWERSTAR може похвалитися широким спектром можливостей, які дають йому змогу дистанційно виконувати команди PowerShell і C#. Крім того, це полегшує встановлення стійкості, збирає життєво важливу інформацію про систему та дозволяє завантажувати та виконувати додаткові модулі. Ці модулі служать різним цілям, таким як перерахування запущених процесів, створення знімків екрана, пошук файлів із певними розширеннями та моніторинг цілісності компонентів збереження.
Крім того, модуль очищення зазнав значних покращень і розширень порівняно з попередніми версіями. Цей модуль спеціально розроблено для видалення всіх слідів присутності зловмисного програмного забезпечення та видалення ключів реєстру, пов’язаних із збереженням. Ці вдосконалення демонструють постійне прагнення Charming Kitten вдосконалювати свої методи та уникати виявлення.
Дослідники також помітили інший варіант POWERSTAR, який використовує окремий підхід для отримання жорстко закодованого сервера C2. Цей варіант досягає цього шляхом декодування файлу, що зберігається в децентралізованій міжпланетній файловій системі (IPFS). Використовуючи цей метод, Charming Kitten прагне підвищити стійкість своєї інфраструктури до атак і покращити її здатність уникати заходів виявлення та пом’якшення.
