Иранская APT использует вредоносное ПО POWERSTAR Backdoor

Очаровательный котенок, спонсируемый государством злоумышленник, связанный с иранским Корпусом стражей исламской революции (КСИР), был идентифицирован как виновник изощренной фишинговой кампании. Кампания предоставляет обновленную версию мощного бэкдора PowerShell под названием POWERSTAR.

Исследователи Volexity Анкур Сайни и Чарли Гарднер сообщили, что вредоносное ПО было улучшено за счет улучшенных мер безопасности, что усложнило анализ и сбор информации.

Очаровательный котенок преуспевает в использовании тактики социальной инженерии для привлечения целей. Они создают поддельные личности на платформах социальных сетей и вступают в длительные разговоры, чтобы установить доверие, прежде чем отправлять вредоносные ссылки. Группа также известна под разными именами, включая APT35, Cobalt Illusion, Mint Sandstorm (ранее Phosphorus) и Yellow Garuda.

В недавних атаках, организованных Charming Kitten, использовались дополнительные имплантаты, такие как PowerLess и BellaCiao, что предполагает широкий спектр шпионских инструментов, используемых для достижения их стратегических целей.

Коротко о POWERSTAR

POWERSTAR, также известный как CharmPower, является последним дополнением к арсеналу Charming Kitten. Первоначально он был задокументирован Check Point в январе 2022 года, раскрывая его использование в атаках с использованием уязвимостей Log4Shell в общедоступных приложениях Java.

С тех пор бэкдор наблюдался как минимум в двух других кампаниях, как сообщали PwC в июле 2022 года и Microsoft в апреле 2023 года.

Компания Volexity, которая обнаружила базовый вариант POWERSTAR в 2021 году, распространяемый через вредоносный макрос, встроенный в файл DOCM, выявила новую волну атак в мае 2023 года. Эта волна использует файл LNK в защищенном паролем файле RAR для загрузки бэкдора из Backblaze. . Кроме того, были приняты меры, препятствующие анализу.

Charming Kitten внедрил метод отделения процесса расшифровки от исходного кода, предотвращая будущую расшифровку полезной нагрузки POWERSTAR и добавляя операционную защиту от анализа и обнаружения.

Бэкдор POWERSTAR может похвастаться широким набором функций, позволяющих удаленно выполнять команды PowerShell и C#, устанавливать персистентность, собирать системную информацию, а также загружать и выполнять дополнительные модули для перечисления процессов, захвата снимков экрана, поиска файлов на основе определенных расширений и мониторинг компонентов персистентности.

Примечательно, что модуль очистки был улучшен и расширен в обновленной версии, чтобы стереть все следы вредоносного ПО и удалить ключи реестра, связанные с сохраняемостью. Эти достижения указывают на постоянные усилия Charming Kitten по совершенствованию методов и уклонению от обнаружения.

Volexity также обнаружила другой вариант POWERSTAR, который пытается получить жестко запрограммированный сервер управления и контроля (C2) путем декодирования файла, хранящегося в децентрализованной межпланетной файловой системе (IPFS). Это свидетельствует о стремлении группы повысить устойчивость своей инфраструктуры атак.

Между тем, MuddyWater (он же Static Kitten) использовал ранее недокументированную среду C2 под названием PhonyC2 для доставки вредоносных полезных нагрузок на скомпрометированные хосты, что совпало с этими разработками.