Iranske APT anvender POWERSTAR Backdoor Malware
Charming Kitten, en statssponsoreret trusselsaktør knyttet til Irans Islamiske Revolutionsgarde (IRGC), er blevet identificeret som gerningsmanden til en sofistikeret spyd-phishing-kampagne. Kampagnen leverer en opdateret version af en kraftfuld PowerShell-bagdør kaldet POWERSTAR.
Volexity-forskere, Ankur Saini og Charlie Gardner, rapporterede, at malware er blevet forbedret med forbedrede operationelle sikkerhedsforanstaltninger, hvilket gør det mere udfordrende at analysere og indsamle efterretninger.
Charming Kitten udmærker sig ved at udnytte social engineering taktik til at lokke mål. De skaber skræddersyede falske identiteter på sociale medieplatforme og engagerer sig i længerevarende samtaler for at skabe tillid, før de sender ondsindede links. Gruppen er også kendt under forskellige navne, herunder APT35, Cobalt Illusion, Mint Sandstorm (tidligere Phosphorus) og Yellow Garuda.
Nylige angreb orkestreret af Charming Kitten har brugt yderligere implantater såsom PowerLess og BellaCiao, hvilket tyder på en bred vifte af spionageværktøjer, der bruges til at nå deres strategiske mål.
POWERSTAR kort fortalt
POWERSTAR, også kendt som CharmPower, er den seneste tilføjelse til Charming Kittens arsenal. Det blev oprindeligt dokumenteret af Check Point i januar 2022, og afslørede dets brug i angreb, der udnytter Log4Shell-sårbarhederne i offentligt eksponerede Java-applikationer.
Siden da er bagdøren blevet observeret i mindst to andre kampagner, som rapporteret af PwC i juli 2022 og Microsoft i april 2023.
Volexity, som opdagede en grundlæggende variant af POWERSTAR i 2021 distribueret gennem en ondsindet makro indlejret i en DOCM-fil, identificerede en ny angrebsbølge i maj 2023. Denne bølge anvender en LNK-fil i en adgangskodebeskyttet RAR-fil til at downloade bagdøren fra Backblaze . Desuden er der truffet foranstaltninger til at hindre analyse.
Charming Kitten har implementeret en metode til at adskille dekrypteringsprocessen fra den indledende kode, hvilket forhindrer fremtidig dekryptering af POWERSTAR-nyttelasten og tilføjer en operationel beskyttelse mod analyse og detektion.
POWERSTAR-bagdøren kan prale af en lang række funktioner, der tillader fjernudførelse af PowerShell- og C#-kommandoer, etablering af persistens, indsamling af systemoplysninger og download og udførelse af yderligere moduler til procesoptælling, screenshot-optagelse, filsøgning baseret på specifikke udvidelser og overvågning af persistenskomponenter.
Navnlig er oprydningsmodulet blevet forbedret og udvidet i den opdaterede version for at slette alle spor af malwaren og slette registreringsdatabasenøgler relateret til persistens. Disse fremskridt indikerer Charming Kittens fortsatte bestræbelser på at forfine teknikker og undgå opdagelse.
Volexity opdagede også en anden variant af POWERSTAR, der forsøger at hente en hårdkodet kommando-og-kontrol-server (C2) ved at afkode en fil, der er gemt på det decentraliserede InterPlanetary Filesystem (IPFS). Dette angiver gruppens bestræbelser på at forbedre modstandsdygtigheden af dens angrebsinfrastruktur.
I mellemtiden har MuddyWater (alias Static Kitten) brugt en tidligere udokumenteret C2-ramme kaldet PhonyC2 til at levere ondsindede nyttelaster til kompromitterede værter, hvilket falder sammen med denne udvikling.