POWERSTAR後門

Charming Kitten 是一個與伊朗伊斯蘭革命衛隊 (IRGC) 有聯繫的國家資助組織，已被確定為另一起針對性魚叉式網絡釣魚活動的幕後黑手。該活動涉及分發名為 POWERSTAR 的綜合 PowerShell 後門的更新變體。

最新版本的 POWERSTAR 通過改進的操作安全措施進行了增強，這使得安全分析師和情報機構分析和收集有關惡意軟件的信息變得更具挑戰性。這些安全措施旨在阻止檢測並阻礙了解後門內部運作的努力。

迷人的小貓網絡犯罪分子嚴重依賴社會工程策略

Charming Kitten威脅行為者也被稱為 APT35、Cobalt Illusion、Mint Sandstorm（以前稱為 Phosphorus）和 Yellow Garuda 等各種其他名稱，他們在利用社會工程技術欺騙目標方面展現了專業知識。他們採用複雜的策略，包括在社交媒體平台上創建定制的虛假角色，以及進行長時間的對話以建立信任和融洽關係。一旦建立關係，他們就會有策略地向受害者發送惡意鏈接。

除了其社會工程能力之外，迷人的小貓還擴展了其入侵技術庫。該組織最近策劃的攻擊涉及部署其他植入程序，例如 PowerLess 和 BellaCiao。這表明威脅行為者擁有多種間諜工具，並戰略性地利用它們來實現其戰略目標。這種多功能性使迷人小貓能夠根據每次行動的具體情況來調整他們的戰術和技術。

POWERSTAR 後門感染媒介正在不斷演變

在 2023 年 5 月的攻擊活動中，Charming Kitten 採用了巧妙的策略來增強 POWERSTAR 惡意軟件的有效性。為了降低不良代碼暴露給分析和檢測的風險，他們實施了一個兩步流程。最初，使用包含 LNK 文件的受密碼保護的 RAR 文件來啟動從 Backblaze 下載後門。這種方法混淆了他們的意圖並阻礙了分析工作。

據研究人員稱，迷人小貓故意將解密方法與初始代碼分開，並避免將其寫入磁盤。通過這樣做，他們增加了一層額外的操作安全性。將解密方法與命令與控制 (C2) 服務器分離可以防止未來嘗試解密相應的 POWERSTAR 有效負載。這種策略有效地防止對手訪問惡意軟件的全部功能，並限制在 Charming Kitten 的控制範圍之外成功解密的可能性。

POWERSTAR 具有廣泛的威脅功能

POWERSTAR 後門擁有廣泛的功能，使其能夠遠程執行 PowerShell 和 C# 命令。此外，它還有助於持久性的建立，收集重要的系統信息，並支持其他模塊的下載和執行。這些模塊有多種用途，例如枚舉正在運行的進程、捕獲屏幕截圖、搜索具有特定擴展名的文件以及監視持久性組件的完整性。

此外，與之前的版本相比，清理模塊也進行了重大改進和擴展。該模塊專門設計用於消除惡意軟件存在的所有痕跡並根除與持久性相關的註冊表項。這些增強功能體現了 Charming Kitten 對改進技術和逃避檢測的持續承諾。

研究人員還觀察到 POWERSTAR 的一個不同變體，它採用獨特的方法來檢索硬編碼的 C2 服務器。該變體通過解碼存儲在去中心化星際文件系統（IPFS）上的文件來實現這一點。通過利用這種方法，Charming Kitten 旨在增強其攻擊基礎設施的彈性，並增強其逃避檢測和緩解措施的能力。