Irański APT wykorzystuje złośliwe oprogramowanie POWERSTAR Backdoor

Charming Kitten, sponsorowane przez państwo ugrupowanie cyberprzestępcze powiązane z irańskim Korpusem Strażników Rewolucji Islamskiej (IRGC), zostało zidentyfikowane jako sprawca wyrafinowanej kampanii phishingu typu spear. Kampania dostarcza zaktualizowaną wersję potężnego backdoora PowerShell o nazwie POWERSTAR.

Badacze Volexity, Ankur Saini i Charlie Gardner, poinformowali, że złośliwe oprogramowanie zostało udoskonalone dzięki ulepszonym środkom bezpieczeństwa operacyjnego, co utrudnia analizę i gromadzenie danych wywiadowczych.

Charming Kitten doskonale wykorzystuje taktyki socjotechniczne do zwabienia celów. Tworzą dostosowane fałszywe tożsamości na platformach mediów społecznościowych i angażują się w długotrwałe rozmowy w celu ustanowienia zaufania przed wysłaniem złośliwych linków. Grupa jest również znana pod różnymi nazwami, w tym APT35, Cobalt Illusion, Mint Sandstorm (dawniej Phosphorus) i Yellow Garuda.

Niedawne ataki zorganizowane przez Charming Kitten wykorzystywały dodatkowe implanty, takie jak PowerLess i BellaCiao, co sugeruje różnorodne narzędzia szpiegowskie wykorzystywane do osiągnięcia ich celów strategicznych.

POWERSTAR w skrócie

POWERSTAR, znany również jako CharmPower, to najnowszy dodatek do arsenału Charming Kitten. Został on początkowo udokumentowany przez firmę Check Point w styczniu 2022 r., ujawniając jego użycie w atakach wykorzystujących luki w zabezpieczeniach Log4Shell w publicznie ujawnionych aplikacjach Java.

Od tego czasu backdoor został zaobserwowany w co najmniej dwóch innych kampaniach, o czym informowały PwC w lipcu 2022 r. i Microsoft w kwietniu 2023 r.

Volexity, które wykryło podstawowy wariant POWERSTAR w 2021 r. dystrybuowany za pośrednictwem złośliwego makra osadzonego w pliku DOCM, zidentyfikowało nową falę ataków w maju 2023 r. Ta fala wykorzystuje plik LNK w chronionym hasłem pliku RAR do pobrania backdoora z Backblaze . Ponadto podjęto środki utrudniające analizę.

Charming Kitten wdrożył metodę oddzielania procesu deszyfrowania od początkowego kodu, zapobiegając przyszłemu odszyfrowaniu ładunku POWERSTAR i dodając operacyjne zabezpieczenie przed analizą i wykryciem.

Backdoor POWERSTAR oferuje szeroką gamę funkcji, umożliwiając zdalne wykonywanie poleceń PowerShell i C#, ustanowienie trwałości, gromadzenie informacji systemowych oraz pobieranie i uruchamianie dodatkowych modułów do wyliczania procesów, przechwytywania zrzutów ekranu, wyszukiwania plików w oparciu o określone rozszerzenia oraz monitorowanie składników trwałości.

Warto zauważyć, że moduł czyszczenia został ulepszony i rozszerzony w zaktualizowanej wersji, aby usunąć wszystkie ślady złośliwego oprogramowania i usunąć klucze rejestru związane z trwałością. Te postępy wskazują na ciągłe wysiłki Charming Kitten w celu udoskonalenia technik i uniknięcia wykrycia.

Volexity odkrył również inny wariant POWERSTAR, który próbuje odzyskać zakodowany na stałe serwer dowodzenia i kontroli (C2) poprzez dekodowanie pliku przechowywanego w zdecentralizowanym międzyplanetarnym systemie plików (IPFS). Oznacza to dążenie grupy do zwiększenia odporności jej infrastruktury ataku.

W międzyczasie firma MuddyWater (aka Static Kitten) wykorzystała wcześniej nieudokumentowaną platformę C2 o nazwie PhonyC2 do dostarczania złośliwych ładunków do zaatakowanych hostów, co zbiegło się z tymi zmianami.