Az iráni APT POWERSTAR Backdoor malware-t alkalmaz

Charming Kitten, az iráni Iszlám Forradalmi Gárda (IRGC) államilag támogatott fenyegetettségi szereplője egy kifinomult lándzsás adathalász kampány elkövetőjeként azonosították. A kampány a POWERSTAR nevű hatékony PowerShell-hátsó ajtó frissített verzióját szállítja.

A Volexity kutatói, Ankur Saini és Charlie Gardner arról számoltak be, hogy a rosszindulatú programokat javított működési biztonsági intézkedésekkel javították, így nagyobb kihívást jelent az elemzés és az információgyűjtés.

A Charming Kitten kiválóan hasznosítja a social engineering taktikákat a célpontok csábítására. Személyre szabott hamis személyazonosságokat hoznak létre a közösségi média platformokon, és hosszan tartó beszélgetéseket folytatnak a bizalom kialakítása érdekében, mielőtt rosszindulatú linkeket küldenének. A csoport különféle neveken is ismert, köztük az APT35, a Cobalt Illusion, a Mint Sandstorm (korábban Phosphorus) és a Yellow Garuda.

A Charming Kitten által szervezett közelmúltbeli támadások további implantátumokat, például PowerLess-t és BellaCiaót alkalmaztak, ami a stratégiai céljaik eléréséhez alkalmazott kémeszközök sokféleségére utal.

POWERSTAR röviden

A POWERSTAR, más néven CharmPower, a Charming Kitten arzenáljának legújabb tagja. A Check Point eredetileg 2022 januárjában dokumentálta, felfedve, hogy a nyilvánosan elérhető Java alkalmazások Log4Shell sebezhetőségét kihasználó támadásokban használják.

Azóta a hátsó ajtót legalább két másik kampányban is megfigyelték, amint arról a PwC 2022 júliusában, a Microsoft pedig 2023 áprilisában számolt be.

A Volexity, amely 2021-ben észlelte a POWERSTAR alapváltozatát, amelyet egy DOCM-fájlba ágyazott rosszindulatú makrón keresztül terjesztettek, 2023 májusában új támadási hullámot azonosított. Ez a hullám egy LNK-fájlt használ a jelszóval védett RAR-fájlon belül, hogy letöltse a hátsó ajtót a Backblaze-ről. . Ezenkívül intézkedéseket hoztak az elemzés akadályozására.

A Charming Kitten bevezetett egy módszert a visszafejtési folyamat és a kezdeti kód elkülönítésére, megakadályozva a POWERSTAR hasznos teher jövőbeli visszafejtését, és működési biztosítékot ad az elemzés és az észlelés ellen.

A POWERSTAR hátsó ajtó a funkciók széles skálájával büszkélkedhet, lehetővé téve a PowerShell és C# parancsok távoli végrehajtását, a perzisztencia létrehozását, a rendszerinformációk gyűjtését, valamint további modulok letöltését és végrehajtását a folyamatok felsorolásához, képernyőképek rögzítéséhez, fájlkereséshez meghatározott kiterjesztések alapján, és a perzisztencia összetevőinek monitorozása.

Figyelemre méltó, hogy a frissített verzióban továbbfejlesztették és kibővítették a tisztító modult, hogy törölje a rosszindulatú program minden nyomát, és törölje a fennmaradással kapcsolatos rendszerleíró kulcsokat. Ezek a fejlesztések jelzik a Charming Kitten folyamatos erőfeszítéseit a technikák finomítására és az észlelés elkerülésére.

A Volexity felfedezte a POWERSTAR egy másik változatát is, amely egy merev kódolt parancs- és vezérlési (C2) szervert próbál lekérni a decentralizált InterPlanetary Filesystem (IPFS) állomány dekódolásával. Ez jelzi a csoport azon törekvését, hogy fokozza támadási infrastruktúrája ellenálló képességét.

Eközben a MuddyWater (más néven Static Kitten) egy korábban nem dokumentált C2-keretrendszert, a PhonyC2-t használta, hogy rosszindulatú rakományokat juttathasson el a feltört gazdagépekhez, ezekkel a fejlesztésekkel egy időben.