Iraanse APT maakt gebruik van POWERSTAR backdoor-malware
Charming Kitten, een door de staat gesponsorde dreigingsacteur die banden heeft met de Iraanse Islamitische Revolutionaire Garde (IRGC), is geïdentificeerd als de dader van een geavanceerde spear-phishing-campagne. De campagne levert een bijgewerkte versie van een krachtige PowerShell-backdoor genaamd POWERSTAR.
Volexity-onderzoekers, Ankur Saini en Charlie Gardner, meldden dat de malware is verbeterd met verbeterde operationele beveiligingsmaatregelen, waardoor het moeilijker wordt om informatie te analyseren en te verzamelen.
Charming Kitten blinkt uit in het gebruik van social engineering-tactieken om doelwitten te verleiden. Ze creëren op maat gemaakte nep-identiteiten op sociale-mediaplatforms en voeren langdurige gesprekken om vertrouwen te wekken voordat ze kwaadaardige links verzenden. De groep is ook bekend onder verschillende namen, waaronder APT35, Cobalt Illusion, Mint Sandstorm (voorheen Phosphorus) en Yellow Garuda.
Recente aanvallen georkestreerd door Charming Kitten hebben extra implantaten gebruikt, zoals PowerLess en BellaCiao, wat suggereert dat er een breed scala aan spionagetools wordt gebruikt om hun strategische doelen te bereiken.
POWERSTAR in het kort
POWERSTAR, ook wel bekend als CharmPower, is de nieuwste toevoeging aan het arsenaal van Charming Kitten. Het werd voor het eerst gedocumenteerd door Check Point in januari 2022 en onthulde het gebruik ervan bij aanvallen waarbij misbruik werd gemaakt van de Log4Shell-kwetsbaarheden in openbaar toegankelijke Java-applicaties.
Sindsdien is de achterdeur waargenomen in ten minste twee andere campagnes, zoals gerapporteerd door PwC in juli 2022 en Microsoft in april 2023.
Volexity, dat in 2021 een basisvariant van POWERSTAR detecteerde die werd gedistribueerd via een kwaadaardige macro ingebed in een DOCM-bestand, identificeerde een nieuwe aanvalsgolf in mei 2023. Deze golf maakt gebruik van een LNK-bestand binnen een met een wachtwoord beveiligd RAR-bestand om de achterdeur van Backblaze te downloaden . Bovendien zijn er maatregelen genomen om de analyse te belemmeren.
Charming Kitten heeft een methode geïmplementeerd om het decoderingsproces te scheiden van de initiële code, waardoor toekomstige decodering van de POWERSTAR-payload wordt voorkomen en een operationele beveiliging tegen analyse en detectie wordt toegevoegd.
De POWERSTAR-backdoor beschikt over een uitgebreid scala aan functies, waardoor PowerShell- en C#-opdrachten op afstand kunnen worden uitgevoerd, persistentie kan worden ingesteld, systeeminformatie kan worden verzameld en aanvullende modules kunnen worden gedownload en uitgevoerd voor het inventariseren van processen, het vastleggen van screenshots, het zoeken naar bestanden op basis van specifieke extensies, en monitoring van persistentiecomponenten.
Met name de opschoonmodule is verbeterd en uitgebreid in de bijgewerkte versie om alle sporen van de malware te wissen en registersleutels met betrekking tot persistentie te verwijderen. Deze vorderingen duiden op de voortdurende inspanningen van Charming Kitten om technieken te verfijnen en detectie te omzeilen.
Volexity ontdekte ook een andere variant van POWERSTAR die probeert een hard-coded command-and-control (C2)-server op te halen door een bestand te decoderen dat is opgeslagen op het gedecentraliseerde InterPlanetary Filesystem (IPFS). Dit duidt op het streven van de groep om de veerkracht van zijn aanvalsinfrastructuur te verbeteren.
Ondertussen heeft MuddyWater (ook bekend als Static Kitten) een voorheen ongedocumenteerd C2-framework genaamd PhonyC2 gebruikt om kwaadaardige payloads te leveren aan gecompromitteerde hosts, wat samenvalt met deze ontwikkelingen.
