POWERSTAR后门

Charming Kitten 是一个与伊朗伊斯兰革命卫队 (IRGC) 有联系的国家资助组织，已被确定为另一起针对性鱼叉式网络钓鱼活动的幕后黑手。该活动涉及分发名为 POWERSTAR 的综合 PowerShell 后门的更新变体。

最新版本的 POWERSTAR 通过改进的操作安全措施进行了增强，这使得安全分析师和情报机构分析和收集有关恶意软件的信息变得更具挑战性。这些安全措施旨在阻止检测并阻碍了解后门内部运作的努力。

迷人的小猫网络犯罪分子严重依赖社会工程策略

Charming Kitten威胁行为者也被称为 APT35、Cobalt Illusion、Mint Sandstorm（以前称为 Phosphorus）和 Yellow Garuda 等各种其他名称，他们在利用社会工程技术欺骗目标方面展现了专业知识。他们采用复杂的策略，包括在社交媒体平台上创建定制的虚假角色，以及进行长时间的对话以建立信任和融洽关系。一旦建立关系，他们就会有策略地向受害者发送恶意链接。

除了其社会工程能力之外，迷人的小猫还扩展了其入侵技术库。该组织最近策划的攻击涉及部署其他植入程序，例如 PowerLess 和 BellaCiao。这表明威胁行为者拥有多种间谍工具，并战略性地利用它们来实现其战略目标。这种多功能性使迷人小猫能够根据每次行动的具体情况来调整他们的战术和技术。

POWERSTAR 后门感染媒介正在不断演变

在 2023 年 5 月的攻击活动中，Charming Kitten 采用了巧妙的策略来增强 POWERSTAR 恶意软件的有效性。为了降低不良代码暴露给分析和检测的风险，他们实施了一个两步流程。最初，使用包含 LNK 文件的受密码保护的 RAR 文件来启动从 Backblaze 下载后门。这种方法混淆了他们的意图并阻碍了分析工作。

据研究人员称，迷人小猫故意将解密方法与初始代码分开，并避免将其写入磁盘。通过这样做，他们增加了一层额外的操作安全性。将解密方法与命令与控制 (C2) 服务器分离可以防止未来尝试解密相应的 POWERSTAR 有效负载。这种策略有效地防止对手访问恶意软件的全部功能，并限制在 Charming Kitten 的控制范围之外成功解密的可能性。

POWERSTAR 具有广泛的威胁功能

POWERSTAR 后门拥有广泛的功能，使其能够远程执行 PowerShell 和 C# 命令。此外，它还有助于持久性的建立，收集重要的系统信息，并支持其他模块的下载和执行。这些模块有多种用途，例如枚举正在运行的进程、捕获屏幕截图、搜索具有特定扩展名的文件以及监视持久性组件的完整性。

此外，与之前的版本相比，清理模块也进行了重大改进和扩展。该模块专门设计用于消除恶意软件存在的所有痕迹并根除与持久性相关的注册表项。这些增强功能体现了 Charming Kitten 对改进技术和逃避检测的持续承诺。

研究人员还观察到 POWERSTAR 的一个不同变体，它采用独特的方法来检索硬编码的 C2 服务器。该变体通过解码存储在去中心化星际文件系统（IPFS）上的文件来实现这一点。通过利用这种方法，Charming Kitten 旨在增强其攻击基础设施的弹性，并增强其逃避检测和缓解措施的能力。