Το Iranian APT απασχολεί κακόβουλο λογισμικό Backdoor POWERSTAR

Ο Charming Kitten, ένας υποστηριζόμενος από το κράτος ηθοποιός απειλών που συνδέεται με το Σώμα των Φρουρών της Ισλαμικής Επανάστασης του Ιράν (IRGC), έχει αναγνωριστεί ως ο δράστης μιας περίπλοκης εκστρατείας ψαρέματος με δόρυ. Η καμπάνια προσφέρει μια ενημερωμένη έκδοση ενός ισχυρού backdoor του PowerShell που ονομάζεται POWERSTAR.

Οι ερευνητές του Volexity, Ankur Saini και Charlie Gardner, ανέφεραν ότι το κακόβουλο λογισμικό έχει βελτιωθεί με βελτιωμένα μέτρα λειτουργικής ασφάλειας, καθιστώντας πιο δύσκολη την ανάλυση και τη συλλογή πληροφοριών.

Το Charming Kitten διαπρέπει στην αξιοποίηση τακτικών κοινωνικής μηχανικής για να δελεάσει στόχους. Δημιουργούν προσαρμοσμένες πλαστές ταυτότητες σε πλατφόρμες μέσων κοινωνικής δικτύωσης και συμμετέχουν σε παρατεταμένες συνομιλίες για να δημιουργήσουν εμπιστοσύνη πριν στείλουν κακόβουλους συνδέσμους. Η ομάδα είναι επίσης γνωστή με διάφορα ονόματα, όπως APT35, Cobalt Illusion, Mint Sandstorm (πρώην Phosphorus) και Yellow Garuda.

Πρόσφατες επιθέσεις που ενορχηστρώθηκαν από το Charming Kitten έχουν χρησιμοποιήσει πρόσθετα εμφυτεύματα όπως το PowerLess και το BellaCiao, υποδεικνύοντας μια ποικιλία εργαλείων κατασκοπείας που χρησιμοποιούνται για την επίτευξη των στρατηγικών τους στόχων.

POWERSTAR εν συντομία

Το POWERSTAR, γνωστό και ως CharmPower, είναι η τελευταία προσθήκη στο οπλοστάσιο του Charming Kitten. Αρχικά τεκμηριώθηκε από το Check Point τον Ιανουάριο του 2022, αποκαλύπτοντας τη χρήση του σε επιθέσεις που εκμεταλλεύονται τα τρωτά σημεία Log4Shell σε εφαρμογές Java που εκτίθενται δημόσια.

Έκτοτε, το backdoor έχει παρατηρηθεί σε τουλάχιστον δύο άλλες καμπάνιες, όπως αναφέρθηκε από την PwC τον Ιούλιο του 2022 και τη Microsoft τον Απρίλιο του 2023.

Το Volexity, το οποίο εντόπισε μια βασική παραλλαγή του POWERSTAR το 2021 που διανεμήθηκε μέσω μιας κακόβουλης μακροεντολής που είναι ενσωματωμένη σε ένα αρχείο DOCM, εντόπισε ένα νέο κύμα επίθεσης τον Μάιο του 2023. Αυτό το κύμα χρησιμοποιεί ένα αρχείο LNK μέσα σε ένα αρχείο RAR που προστατεύεται με κωδικό πρόσβασης για λήψη της κερκόπορτας από το Backblaze . Επιπλέον, έχουν ληφθεί μέτρα για την παρεμπόδιση της ανάλυσης.

Η Charming Kitten έχει εφαρμόσει μια μέθοδο διαχωρισμού της διαδικασίας αποκρυπτογράφησης από τον αρχικό κώδικα, αποτρέποντας τη μελλοντική αποκρυπτογράφηση του ωφέλιμου φορτίου POWERSTAR και προσθέτοντας μια λειτουργική προστασία έναντι ανάλυσης και ανίχνευσης.

Η κερκόπορτα POWERSTAR διαθέτει μια εκτεταμένη γκάμα χαρακτηριστικών, επιτρέποντας την απομακρυσμένη εκτέλεση εντολών PowerShell και C#, δημιουργία επιμονής, συλλογή πληροφοριών συστήματος και λήψη και εκτέλεση πρόσθετων λειτουργικών μονάδων για απαρίθμηση διεργασιών, λήψη στιγμιότυπου οθόνης, αναζήτηση αρχείων με βάση συγκεκριμένες επεκτάσεις και παρακολούθηση των εξαρτημάτων ανθεκτικότητας.

Συγκεκριμένα, η μονάδα εκκαθάρισης έχει βελτιωθεί και επεκταθεί στην ενημερωμένη έκδοση για να διαγράψει όλα τα ίχνη του κακόβουλου λογισμικού και να διαγράψει τα κλειδιά μητρώου που σχετίζονται με την επιμονή. Αυτές οι εξελίξεις δείχνουν τις συνεχείς προσπάθειες του Charming Kitten να βελτιώσει τις τεχνικές και να αποφύγει τον εντοπισμό.

Το Volexity ανακάλυψε επίσης μια διαφορετική παραλλαγή του POWERSTAR που επιχειρεί να ανακτήσει έναν σκληρά κωδικοποιημένο διακομιστή εντολών και ελέγχου (C2) αποκωδικοποιώντας ένα αρχείο που είναι αποθηκευμένο στο αποκεντρωμένο InterPlanetary Filesystem (IPFS). Αυτό υποδηλώνει την προσπάθεια της ομάδας να ενισχύσει την ανθεκτικότητα της υποδομής επίθεσης.

Εν τω μεταξύ, το MuddyWater (γνωστός και ως Static Kitten) έχει χρησιμοποιήσει ένα πλαίσιο C2 που δεν είχε τεκμηριωθεί στο παρελθόν, το PhonyC2 για την παράδοση κακόβουλων ωφέλιμων φορτίων σε παραβιασμένους κεντρικούς υπολογιστές, που συμπίπτουν με αυτές τις εξελίξεις.