Iranske APT bruker POWERSTAR Backdoor Malware
Charming Kitten, en statsstøttet trusselaktør knyttet til Irans Islamic Revolutionary Guard Corps (IRGC), har blitt identifisert som gjerningsmannen for en sofistikert spydfiskekampanje. Kampanjen leverer en oppdatert versjon av en kraftig PowerShell-bakdør kalt POWERSTAR.
Volexity-forskere, Ankur Saini og Charlie Gardner, rapporterte at skadevaren har blitt forbedret med forbedrede operasjonelle sikkerhetstiltak, noe som gjør det mer utfordrende å analysere og samle etterretning.
Charming Kitten utmerker seg i å utnytte sosial ingeniørtaktikk for å lokke mål. De skaper skreddersydde falske identiteter på sosiale medieplattformer og deltar i langvarige samtaler for å etablere tillit før de sender ondsinnede lenker. Gruppen er også kjent under forskjellige navn, inkludert APT35, Cobalt Illusion, Mint Sandstorm (tidligere Phosphorus) og Yellow Garuda.
Nylige angrep orkestrert av Charming Kitten har brukt ekstra implantater som PowerLess og BellaCiao, noe som tyder på et mangfoldig utvalg av spionasjeverktøy brukt for å nå deres strategiske mål.
POWERSTAR i korte trekk
POWERSTAR, også kjent som CharmPower, er det siste tilskuddet til Charming Kittens arsenal. Det ble opprinnelig dokumentert av Check Point i januar 2022, og avslørte bruken i angrep som utnytter Log4Shell-sårbarhetene i offentlig eksponerte Java-applikasjoner.
Siden den gang har bakdøren blitt observert i minst to andre kampanjer, som rapportert av PwC i juli 2022 og Microsoft i april 2023.
Volexity, som oppdaget en grunnleggende variant av POWERSTAR i 2021 distribuert gjennom en ondsinnet makro innebygd i en DOCM-fil, identifiserte en ny angrepsbølge i mai 2023. Denne bølgen bruker en LNK-fil i en passordbeskyttet RAR-fil for å laste ned bakdøren fra Backblaze . I tillegg er det iverksatt tiltak for å hindre analyse.
Charming Kitten har implementert en metode for å skille dekrypteringsprosessen fra den opprinnelige koden, forhindre fremtidig dekryptering av POWERSTAR-nyttelasten og legge til en operasjonell beskyttelse mot analyse og deteksjon.
POWERSTAR-bakdøren har et omfattende utvalg funksjoner, som tillater ekstern kjøring av PowerShell- og C#-kommandoer, etablering av persistens, innsamling av systeminformasjon og nedlasting og utførelse av tilleggsmoduler for prosessoppregning, skjermdumpfangst, filsøk basert på spesifikke utvidelser, og overvåking av bestandighetskomponenter.
Spesielt er oppryddingsmodulen forbedret og utvidet i den oppdaterte versjonen for å slette alle spor av skadelig programvare og slette registernøkler relatert til persistens. Disse fremskrittene indikerer Charming Kittens pågående innsats for å avgrense teknikker og unngå oppdagelse.
Volexity oppdaget også en annen variant av POWERSTAR som forsøker å hente en hardkodet kommando-og-kontroll (C2) server ved å dekode en fil som er lagret på det desentraliserte InterPlanetary Filesystem (IPFS). Dette indikerer gruppens forsøk på å øke motstandskraften til angrepsinfrastrukturen.
I mellomtiden har MuddyWater (aka Static Kitten) brukt et tidligere udokumentert C2-rammeverk kalt PhonyC2 for å levere ondsinnede nyttelaster til kompromitterte verter, sammenfallende med denne utviklingen.
