Irano APT dirba POWERSTAR Backdoor kenkėjiška programa
Charming Kitten, valstybės remiamas grėsmių veikėjas, susijęs su Irano islamo revoliucinės gvardijos korpusu (IRGC), buvo nustatytas kaip sudėtingos sukčiavimo su ietimis kampanijos vykdytojas. Kampanija pristato atnaujintą galingų „PowerShell“ užpakalinių durų, vadinamų POWERSTAR, versiją.
„Volexity“ tyrinėtojai Ankuras Saini ir Charlie Gardneris pranešė, kad kenkėjiška programa buvo patobulinta taikant patobulintas veikimo saugumo priemones, todėl analizuoti ir rinkti žvalgybos informaciją tapo sudėtingiau.
Charming Kitten puikiai panaudoja socialinės inžinerijos taktiką, kad priviliotų taikinius. Jie sukuria pritaikytas netikras tapatybes socialinės žiniasklaidos platformose ir įsitraukia į ilgus pokalbius, kad sukurtų pasitikėjimą prieš siųsdami kenkėjiškas nuorodas. Grupė taip pat žinoma įvairiais pavadinimais, įskaitant APT35, Cobalt Illusion, Mint Sandstorm (anksčiau Phosphorus) ir Yellow Garuda.
Pastaruoju metu Charming Kitten surengtose atakose buvo naudojami papildomi implantai, tokie kaip PowerLess ir BellaCiao, o tai rodo, kad strateginiams tikslams pasiekti naudojamos įvairios šnipinėjimo priemonės.
POWERSTAR trumpai
POWERSTAR, taip pat žinomas kaip CharmPower, yra naujausias Charming Kitten arsenalo papildymas. Iš pradžių jį dokumentavo „Check Point“ 2022 m. sausio mėn., atskleisdamas jo naudojimą atakose, išnaudojančiose „Log4Shell“ pažeidžiamumą viešai rodomose „Java“ programose.
Nuo to laiko užpakalinės durys buvo pastebėtos dar mažiausiai dviejose kampanijose, kaip pranešė PwC 2022 m. liepos mėn. ir „Microsoft“ 2023 m. balandžio mėn.
„Volexity“, aptikusi pagrindinį POWERSTAR variantą 2021 m., platinamą per kenkėjišką makrokomandą, įterptą į DOCM failą, 2023 m. gegužės mėn. nustatė naują atakos bangą. Ši banga naudoja LNK failą slaptažodžiu apsaugotame RAR faile, kad būtų galima atsisiųsti užpakalines duris iš „Backblaze“ . Be to, buvo imtasi priemonių, kurios trukdytų analizei.
Charming Kitten įdiegė metodą, skirtą atskirti iššifravimo procesą nuo pradinio kodo, užkertant kelią POWERSTAR naudingojo krovinio iššifravimui ateityje ir pridedant veikimo apsaugą nuo analizės ir aptikimo.
POWERSTAR užpakalinės durys gali pasigirti daugybe funkcijų, leidžiančių nuotoliniu būdu vykdyti PowerShell ir C# komandas, nustatyti pastovumą, rinkti sistemos informaciją ir atsisiųsti bei vykdyti papildomus modulius, skirtus procesų surašymui, ekrano kopijų fiksavimui, failų paieškai pagal specifinius plėtinius ir patvarumo komponentų stebėjimas.
Pažymėtina, kad valymo modulis buvo patobulintas ir išplėstas atnaujintoje versijoje, kad būtų ištrinti visi kenkėjiškos programos pėdsakai ir ištrinti registro raktai, susiję su patvarumu. Šie pasiekimai rodo Charming Kitten nuolatines pastangas tobulinti metodus ir išvengti aptikimo.
„Volexity“ taip pat atrado kitą POWERSTAR variantą, kuris bando gauti sunkiai užkoduotą komandų ir valdymo (C2) serverį, dekoduodamas failą, saugomą decentralizuotoje „InterPlanetary Filesystem“ (IPFS). Tai reiškia grupės pastangas padidinti savo atakų infrastruktūros atsparumą.
Tuo tarpu „MuddyWater“ (dar žinomas kaip „Static Kitten“) panaudojo anksčiau nedokumentuotą C2 sistemą, pavadintą „PhonyC2“, kad pateiktų kenksmingus krovinius pažeistiems pagrindiniams kompiuteriams, sutampantiems su šiais pokyčiais.
