APT iraniano emprega malware POWERSTAR Backdoor
Charming Kitten, um ator de ameaças patrocinado pelo Estado ligado ao Corpo da Guarda Revolucionária Islâmica do Irã (IRGC), foi identificado como o autor de uma sofisticada campanha de spear phishing. A campanha oferece uma versão atualizada de um poderoso backdoor do PowerShell chamado POWERSTAR.
Os pesquisadores da Volexity, Ankur Saini e Charlie Gardner, relataram que o malware foi aprimorado com medidas de segurança operacional aprimoradas, tornando mais desafiador analisar e coletar informações.
Charming Kitten é excelente em alavancar táticas de engenharia social para atrair alvos. Eles criam identidades falsas personalizadas em plataformas de mídia social e se envolvem em conversas prolongadas para estabelecer confiança antes de enviar links maliciosos. O grupo também é conhecido por vários nomes, incluindo APT35, Cobalt Illusion, Mint Sandstorm (anteriormente Phosphorus) e Yellow Garuda.
Ataques recentes orquestrados por Charming Kitten utilizaram implantes adicionais, como PowerLess e BellaCiao, sugerindo uma gama diversificada de ferramentas de espionagem empregadas para atingir seus objetivos estratégicos.
POWERSTAR em resumo
POWERSTAR, também conhecido como CharmPower, é a mais recente adição ao arsenal de Charming Kitten. Foi inicialmente documentado pela Check Point em janeiro de 2022, revelando seu uso em ataques que exploram as vulnerabilidades do Log4Shell em aplicativos Java expostos publicamente.
Desde então, o backdoor foi observado em pelo menos duas outras campanhas, conforme relatado pela PwC em julho de 2022 e pela Microsoft em abril de 2023.
O Volexity, que detectou uma variante básica do POWERSTAR em 2021 distribuída por meio de uma macro maliciosa incorporada a um arquivo DOCM, identificou uma nova onda de ataque em maio de 2023. Essa onda emprega um arquivo LNK dentro de um arquivo RAR protegido por senha para baixar o backdoor do Backblaze . Além disso, foram tomadas medidas para impedir a análise.
O Charming Kitten implementou um método para separar o processo de descriptografia do código inicial, evitando a descriptografia futura da carga útil do POWERSTAR e adicionando uma proteção operacional contra análise e detecção.
O backdoor POWERSTAR possui uma ampla gama de recursos, permitindo a execução remota de comandos PowerShell e C#, estabelecimento de persistência, coleta de informações do sistema e download e execução de módulos adicionais para enumeração de processos, captura de tela, pesquisa de arquivos com base em extensões específicas e monitoramento de componentes de persistência.
Notavelmente, o módulo de limpeza foi aprimorado e expandido na versão atualizada para apagar todos os vestígios do malware e excluir as chaves de registro relacionadas à persistência. Esses avanços indicam os esforços contínuos da Charming Kitten para refinar as técnicas e evitar a detecção.
A Volexity também descobriu uma variante diferente do POWERSTAR que tenta recuperar um servidor de comando e controle (C2) codificado decodificando um arquivo armazenado no sistema de arquivos interplanetário descentralizado (IPFS). Isso significa o esforço do grupo para aumentar a resiliência de sua infraestrutura de ataque.
Enquanto isso, MuddyWater (também conhecido como Static Kitten) empregou uma estrutura C2 anteriormente não documentada chamada PhonyC2 para fornecer cargas maliciosas a hosts comprometidos, coincidindo com esses desenvolvimentos.