L'APT iraniano impiega malware backdoor POWERSTAR
Charming Kitten, un attore di minacce sponsorizzato dallo stato collegato al Corpo delle guardie rivoluzionarie islamiche iraniane (IRGC), è stato identificato come l'autore di una sofisticata campagna di spear phishing. La campagna offre una versione aggiornata di una potente backdoor di PowerShell chiamata POWERSTAR.
I ricercatori di Volexity, Ankur Saini e Charlie Gardner, hanno riferito che il malware è stato potenziato con migliori misure di sicurezza operativa, rendendo più difficile l'analisi e la raccolta di informazioni.
Charming Kitten eccelle nello sfruttare le tattiche di ingegneria sociale per attirare i bersagli. Creano identità false su misura su piattaforme di social media e intrattengono conversazioni prolungate per stabilire la fiducia prima di inviare collegamenti dannosi. Il gruppo è anche conosciuto con vari nomi, tra cui APT35, Cobalt Illusion, Mint Sandstorm (precedentemente Phosphorus) e Yellow Garuda.
I recenti attacchi orchestrati da Charming Kitten hanno utilizzato impianti aggiuntivi come PowerLess e BellaCiao, suggerendo una vasta gamma di strumenti di spionaggio impiegati per raggiungere i loro obiettivi strategici.
POWERSTAR in breve
POWERSTAR, noto anche come CharmPower, è l'ultima aggiunta all'arsenale di Charming Kitten. È stato inizialmente documentato da Check Point nel gennaio 2022, rivelando il suo utilizzo in attacchi che sfruttano le vulnerabilità Log4Shell nelle applicazioni Java esposte pubblicamente.
Da allora, la backdoor è stata osservata in almeno altre due campagne, come riportato da PwC nel luglio 2022 e Microsoft nell'aprile 2023.
Volexity, che ha rilevato una variante base di POWERSTAR nel 2021 distribuita tramite una macro dannosa incorporata in un file DOCM, ha identificato una nuova ondata di attacchi nel maggio 2023. Questa ondata utilizza un file LNK all'interno di un file RAR protetto da password per scaricare la backdoor da Backblaze . Inoltre, sono state prese misure per impedire l'analisi.
Charming Kitten ha implementato un metodo per separare il processo di decrittazione dal codice iniziale, prevenendo la futura decrittazione del payload POWERSTAR e aggiungendo una protezione operativa contro l'analisi e il rilevamento.
La backdoor POWERSTAR vanta un'ampia gamma di funzionalità, consentendo l'esecuzione remota di comandi PowerShell e C#, creazione di persistenza, raccolta di informazioni di sistema e download ed esecuzione di moduli aggiuntivi per l'enumerazione dei processi, l'acquisizione di schermate, la ricerca di file basata su estensioni specifiche e monitoraggio dei componenti di persistenza.
In particolare, il modulo di pulizia è stato migliorato e ampliato nella versione aggiornata per cancellare tutte le tracce del malware ed eliminare le chiavi di registro relative alla persistenza. Questi progressi indicano i continui sforzi di Charming Kitten per perfezionare le tecniche ed eludere il rilevamento.
Volexity ha anche scoperto una variante diversa di POWERSTAR che tenta di recuperare un server di comando e controllo (C2) hardcoded decodificando un file archiviato sull'InterPlanetary Filesystem (IPFS) decentralizzato. Ciò indica lo sforzo del gruppo per migliorare la resilienza della sua infrastruttura di attacco.
Nel frattempo, MuddyWater (alias Static Kitten) ha utilizzato un framework C2 precedentemente non documentato chiamato PhonyC2 per fornire payload dannosi a host compromessi, in coincidenza con questi sviluppi.
