Cửa hậu POWERSTAR

Charming Kitten, một nhóm được nhà nước bảo trợ có liên kết với Lực lượng Vệ binh Cách mạng Hồi giáo Iran (IRGC), đã được xác định là thủ phạm đứng sau một chiến dịch lừa đảo có chủ đích khác. Chiến dịch này liên quan đến việc phân phối một biến thể cập nhật của một cửa hậu PowerShell toàn diện được gọi là POWERSTAR.

Phiên bản POWERSTAR mới nhất này đã được cải tiến với các biện pháp bảo mật hoạt động được cải thiện, khiến các nhà phân tích bảo mật và cơ quan tình báo gặp nhiều khó khăn hơn trong việc phân tích và thu thập thông tin về phần mềm độc hại. Các biện pháp bảo mật này được thiết kế để ngăn chặn sự phát hiện và cản trở nỗ lực tìm hiểu hoạt động bên trong của cửa hậu.

Tội phạm mạng chú mèo con quyến rũ phụ thuộc rất nhiều vào các chiến thuật kỹ thuật xã hội

Các tác nhân đe dọa Charming Kitten , còn được biết đến với nhiều tên khác như APT35, Cobalt Illusion, Mint Sandstorm (trước đây là Phốt pho) và Yellow Garuda, đã thể hiện chuyên môn trong việc tận dụng các kỹ thuật kỹ thuật xã hội để đánh lừa mục tiêu của chúng. Họ sử dụng các chiến thuật tinh vi, bao gồm việc tạo ra các cá nhân giả tùy chỉnh trên các nền tảng truyền thông xã hội và tham gia vào các cuộc trò chuyện kéo dài để thiết lập lòng tin và mối quan hệ. Sau khi mối quan hệ được thiết lập, chúng sẽ gửi các liên kết độc hại đến nạn nhân của chúng một cách có chiến lược.

Ngoài năng lực kỹ thuật xã hội, Charming Kitten đã mở rộng kho kỹ thuật xâm nhập của mình. Các cuộc tấn công gần đây do nhóm dàn dựng có liên quan đến việc triển khai các thiết bị cấy ghép khác, chẳng hạn như PowerLess và BellaCiao. Điều này chỉ ra rằng tác nhân đe dọa sở hữu nhiều loại công cụ gián điệp khác nhau, sử dụng chúng một cách chiến lược để đạt được các mục tiêu chiến lược của chúng. Tính linh hoạt này cho phép Charming Kitten điều chỉnh các chiến thuật và kỹ thuật của họ tùy theo hoàn cảnh cụ thể của từng hoạt động.

Các vectơ lây nhiễm qua cửa hậu POWERSTAR đang phát triển

Trong chiến dịch tấn công vào tháng 5 năm 2023, Charming Kitten đã sử dụng một chiến lược thông minh để nâng cao hiệu quả của phần mềm độc hại POWERSTAR. Để giảm thiểu nguy cơ lộ mã xấu của họ để phân tích và phát hiện, họ đã triển khai quy trình gồm hai bước. Ban đầu, tệp RAR được bảo vệ bằng mật khẩu có chứa tệp LNK được sử dụng để bắt đầu tải xuống cửa hậu từ Backblaze. Cách tiếp cận này phục vụ để làm xáo trộn ý định của họ và cản trở các nỗ lực phân tích.

Theo các nhà nghiên cứu, Charming Kitten đã cố tình tách phương thức giải mã khỏi mã ban đầu và tránh ghi nó vào đĩa. Bằng cách đó, họ đã bổ sung thêm một lớp bảo mật hoạt động. Việc tách rời phương thức giải mã khỏi máy chủ Command-and-Control (C2) đóng vai trò là biện pháp bảo vệ chống lại các nỗ lực giải mã tải trọng POWERSTAR tương ứng trong tương lai. Chiến thuật này ngăn chặn hiệu quả các đối thủ truy cập vào toàn bộ chức năng của phần mềm độc hại và hạn chế khả năng giải mã thành công ngoài tầm kiểm soát của Charming Kitten.

POWERSTAR Mang Nhiều Chức Năng Đe Dọa

Cửa hậu POWERSTAR tự hào có nhiều khả năng cho phép nó thực hiện các lệnh PowerShell và C# từ xa. Ngoài ra, nó tạo điều kiện thiết lập tính bền vững, thu thập thông tin hệ thống quan trọng và cho phép tải xuống và thực thi các mô-đun bổ sung. Các mô-đun này phục vụ nhiều mục đích khác nhau, chẳng hạn như liệt kê các quy trình đang chạy, chụp ảnh màn hình, tìm kiếm các tệp có phần mở rộng cụ thể và giám sát tính toàn vẹn của các thành phần lưu giữ lâu dài.

Hơn nữa, mô-đun dọn dẹp đã trải qua những cải tiến và mở rộng đáng kể so với các phiên bản trước. Mô-đun này được thiết kế đặc biệt để loại bỏ mọi dấu vết về sự hiện diện của phần mềm độc hại và xóa các khóa đăng ký liên quan đến sự tồn tại lâu dài. Những cải tiến này thể hiện cam kết liên tục của Charming Kitten trong việc cải tiến các kỹ thuật của mình và tránh bị phát hiện.

Các nhà nghiên cứu cũng đã quan sát thấy một biến thể khác của POWERSTAR sử dụng một cách tiếp cận khác biệt để truy xuất máy chủ C2 được mã hóa cứng. Biến thể này đạt được điều này bằng cách giải mã một tệp được lưu trữ trên Hệ thống tệp liên hành tinh phi tập trung (IPFS). Bằng cách tận dụng phương pháp này, Charming Kitten nhằm tăng cường khả năng phục hồi của cơ sở hạ tầng tấn công và nâng cao khả năng trốn tránh các biện pháp phát hiện và giảm thiểu.