L'APT iranien utilise le logiciel malveillant de porte dérobée POWERSTAR

Charming Kitten, un acteur menaçant parrainé par l'État et lié au Corps des gardiens de la révolution islamique (CGRI) iranien, a été identifié comme l'auteur d'une campagne sophistiquée de harponnage. La campagne propose une version mise à jour d'une puissante porte dérobée PowerShell appelée POWERSTAR.

Les chercheurs de Volexity, Ankur Saini et Charlie Gardner, ont rapporté que le malware a été amélioré avec des mesures de sécurité opérationnelles améliorées, ce qui rend plus difficile l'analyse et la collecte de renseignements.

Charming Kitten excelle dans l'utilisation de tactiques d'ingénierie sociale pour attirer des cibles. Ils créent de fausses identités sur mesure sur les plateformes de médias sociaux et s'engagent dans des conversations prolongées pour établir la confiance avant d'envoyer des liens malveillants. Le groupe est également connu sous divers noms, notamment APT35, Cobalt Illusion, Mint Sandstorm (anciennement Phosphorus) et Yellow Garuda.

Les attaques récentes orchestrées par Charming Kitten ont utilisé des implants supplémentaires tels que PowerLess et BellaCiao, suggérant une gamme variée d'outils d'espionnage utilisés pour atteindre leurs objectifs stratégiques.

POWERSTAR en bref

POWERSTAR, également connu sous le nom de CharmPower, est le dernier ajout à l'arsenal de Charming Kitten. Il a été initialement documenté par Check Point en janvier 2022, révélant son utilisation dans des attaques exploitant les vulnérabilités Log4Shell dans des applications Java exposées publiquement.

Depuis lors, la porte dérobée a été observée dans au moins deux autres campagnes, comme l'ont rapporté PwC en juillet 2022 et Microsoft en avril 2023.

Volexity, qui a détecté une variante de base de POWERSTAR en 2021 distribuée via une macro malveillante intégrée dans un fichier DOCM, a identifié une nouvelle vague d'attaque en mai 2023. Cette vague utilise un fichier LNK dans un fichier RAR protégé par mot de passe pour télécharger la porte dérobée depuis Backblaze . De plus, des mesures ont été prises pour entraver l'analyse.

Charming Kitten a mis en place une méthode pour séparer le processus de décryptage du code initial, empêchant le décryptage futur de la charge utile POWERSTAR et ajoutant une protection opérationnelle contre l'analyse et la détection.

La porte dérobée POWERSTAR offre une vaste gamme de fonctionnalités, permettant l'exécution à distance des commandes PowerShell et C #, l'établissement de la persistance, la collecte d'informations système, ainsi que le téléchargement et l'exécution de modules supplémentaires pour l'énumération des processus, la capture d'écran, la recherche de fichiers basée sur des extensions spécifiques et surveillance des composants de persistance.

Notamment, le module de nettoyage a été amélioré et étendu dans la version mise à jour pour effacer toutes les traces du malware et supprimer les clés de registre liées à la persistance. Ces avancées indiquent les efforts continus de Charming Kitten pour affiner les techniques et échapper à la détection.

Volexity a également découvert une variante différente de POWERSTAR qui tente de récupérer un serveur de commande et de contrôle (C2) codé en dur en décodant un fichier stocké sur le système de fichiers interplanétaire décentralisé (IPFS). Cela signifie que le groupe s'efforce d'améliorer la résilience de son infrastructure d'attaque.

Pendant ce temps, MuddyWater (alias Static Kitten) a utilisé un cadre C2 auparavant non documenté appelé PhonyC2 pour fournir des charges utiles malveillantes aux hôtes compromis, coïncidant avec ces développements.