Iranisches APT setzt POWERSTAR-Backdoor-Malware ein
Charming Kitten, ein staatlich geförderter Bedrohungsakteur mit Verbindungen zum Korps der Islamischen Revolutionsgarden (IRGC) des Iran, wurde als Täter einer raffinierten Spear-Phishing-Kampagne identifiziert. Die Kampagne liefert eine aktualisierte Version einer leistungsstarken PowerShell-Hintertür namens POWERSTAR.
Die Volexity-Forscher Ankur Saini und Charlie Gardner berichteten, dass die Malware durch verbesserte betriebliche Sicherheitsmaßnahmen verbessert wurde, was die Analyse und das Sammeln von Informationen schwieriger macht.
Charming Kitten zeichnet sich dadurch aus, dass es Social-Engineering-Taktiken nutzt, um Ziele anzulocken. Sie erstellen maßgeschneiderte gefälschte Identitäten auf Social-Media-Plattformen und führen längere Gespräche, um Vertrauen aufzubauen, bevor sie bösartige Links versenden. Die Gruppe ist auch unter verschiedenen Namen bekannt, darunter APT35, Cobalt Illusion, Mint Sandstorm (ehemals Phosphorus) und Yellow Garuda.
Bei den jüngsten von Charming Kitten inszenierten Angriffen kamen zusätzliche Implantate wie PowerLess und BellaCiao zum Einsatz, was darauf hindeutet, dass zur Erreichung ihrer strategischen Ziele vielfältige Spionageinstrumente eingesetzt werden.
POWERSTAR in Kürze
POWERSTAR, auch bekannt als CharmPower, ist die neueste Ergänzung im Arsenal von Charming Kitten. Es wurde erstmals im Januar 2022 von Check Point dokumentiert und enthüllte seinen Einsatz bei Angriffen, die die Log4Shell-Schwachstellen in öffentlich zugänglichen Java-Anwendungen ausnutzen.
Seitdem wurde die Hintertür in mindestens zwei weiteren Kampagnen beobachtet, wie PwC im Juli 2022 und Microsoft im April 2023 berichteten.
Volexity, das 2021 eine Basisvariante von POWERSTAR entdeckte, die über ein in eine DOCM-Datei eingebettetes bösartiges Makro verbreitet wurde, identifizierte im Mai 2023 eine neue Angriffswelle. Diese Welle nutzt eine LNK-Datei in einer passwortgeschützten RAR-Datei, um die Hintertür von Backblaze herunterzuladen . Darüber hinaus wurden Maßnahmen ergriffen, um die Analyse zu erschweren.
Charming Kitten hat eine Methode implementiert, um den Entschlüsselungsprozess vom ursprünglichen Code zu trennen, um eine zukünftige Entschlüsselung der POWERSTAR-Nutzlast zu verhindern und einen betrieblichen Schutz gegen Analyse und Erkennung hinzuzufügen.
Die POWERSTAR-Hintertür verfügt über eine umfangreiche Palette an Funktionen, die die Remote-Ausführung von PowerShell- und C#-Befehlen, die Einrichtung von Persistenz, die Erfassung von Systeminformationen sowie das Herunterladen und Ausführen zusätzlicher Module für Prozessaufzählung, Screenshot-Erfassung, Dateisuche basierend auf bestimmten Erweiterungen usw. ermöglichen Überwachung von Persistenzkomponenten.
Insbesondere wurde das Bereinigungsmodul in der aktualisierten Version verbessert und erweitert, um alle Spuren der Malware zu löschen und Registrierungsschlüssel im Zusammenhang mit der Persistenz zu löschen. Diese Fortschritte zeugen von den kontinuierlichen Bemühungen von Charming Kitten, die Techniken zu verfeinern und der Entdeckung zu entgehen.
Volexity entdeckte auch eine andere Variante von POWERSTAR, die versucht, einen hartcodierten Command-and-Control-Server (C2) abzurufen, indem sie eine Datei dekodiert, die im dezentralen InterPlanetary Filesystem (IPFS) gespeichert ist. Dies verdeutlicht das Bestreben des Konzerns, die Widerstandsfähigkeit seiner Angriffsinfrastruktur zu erhöhen.
In der Zwischenzeit hat MuddyWater (auch bekannt als Static Kitten) ein bisher undokumentiertes C2-Framework namens PhonyC2 eingesetzt, um bösartige Payloads an kompromittierte Hosts zu übermitteln, was mit diesen Entwicklungen zusammenfällt.
