イランの APT が POWERSTAR バックドア マルウェアを使用

イランイスラム革命防衛隊 (IRGC) と関係のある国家支援の脅威アクターであるチャーミング キトゥンが、高度なスピア フィッシング キャンペーンの実行者として特定されました。このキャンペーンでは、POWERSTAR と呼ばれる強力な PowerShell バックドアの更新バージョンが提供されます。

Volexity 研究者の Ankur Saini 氏と Charlie Gardner 氏は、このマルウェアは運用上のセキュリティ対策が強化されて強化されており、分析と情報収集がより困難になっていると報告しました。

Charming Kitten は、ソーシャル エンジニアリング戦術を活用してターゲットを誘惑することに優れています。彼らはソーシャル メディア プラットフォーム上でカスタマイズされた偽の ID を作成し、悪意のあるリンクを送信する前に信頼を確立するために長時間の会話を行います。このグループは、APT35、Cobalt Illusion、Mint Sandstorm (旧名 Phosphorus)、Yellow Garuda など、さまざまな名前でも知られています。

Charming Kitten によって組織された最近の攻撃では、PowerLess や BellaCiao などの追加のインプラントが利用されており、戦略的目的を達成するためにさまざまなスパイツールが使用されたことが示唆されています。

パワースターの概要

CharmPower としても知られる POWERSTAR は、Charming Kitten の武器庫に新しく追加された製品です。この脆弱性は 2022 年 1 月に Check Point によって初めて文書化され、公開されている Java アプリケーションの Log4Shell 脆弱性を悪用した攻撃での使用が明らかになりました。

それ以来、2022 年 7 月に PwC が、2023 年 4 月にマイクロソフトが報告したように、バックドアは他の少なくとも 2 つのキャンペーンで観察されています。

Volexity は、DOCM ファイルに埋め込まれた悪意のあるマクロを通じて配布された POWERSTAR の基本的な亜種を 2021 年に検出し、2023 年 5 月に新たな攻撃の波を特定しました。この波は、パスワードで保護された RAR ファイル内の LNK ファイルを使用して、Backblaze からバックドアをダウンロードします。 。さらに、分析を妨げる措置が講じられています。

Charming Kitten は、復号化プロセスを初期コードから分離する方法を実装し、将来の POWERSTAR ペイロードの復号化を防ぎ、分析と検出に対する運用上の安全対策を追加しました。

POWERSTAR バックドアは広範な機能を備えており、PowerShell および C# コマンドのリモート実行、永続性の確立、システム情報の収集、プロセスの列挙、スクリーンショットのキャプチャ、特定の拡張子に基づくファイル検索のための追加モジュールのダウンロードと実行を可能にします。永続化コンポーネントの監視。

特に、更新バージョンではクリーンアップ モジュールが強化および拡張され、マルウェアの痕跡をすべて消去し、永続化に関連するレジストリ キーを削除します。これらの進歩は、Charming Kitten が技術を磨き、検出を回避するために継続的に努力していることを示しています。

Volexity はまた、分散型 InterPlanetary Filesystem (IPFS) に保存されているファイルをデコードすることで、ハードコーディングされたコマンド アンド コントロール (C2) サーバーを取得しようとする POWERSTAR の別の亜種も発見しました。これは、攻撃インフラストラクチャの回復力を強化するというグループの取り組みを意味します。

一方、MuddyWater (別名 Static Kitten) は、これらの開発と同時に、PhonyC2 と呼ばれるこれまで文書化されていない C2 フレームワークを使用して、侵害されたホストに悪意のあるペイロードを配信しました。