Iranska APT använder POWERSTAR Backdoor Malware
Charming Kitten, en statligt sponsrad hotaktör kopplad till Irans islamiska revolutionsgardet (IRGC), har identifierats som förövaren av en sofistikerad spjutfiskekampanj. Kampanjen levererar en uppdaterad version av en kraftfull PowerShell-bakdörr som heter POWERSTAR.
Volexity-forskare, Ankur Saini och Charlie Gardner, rapporterade att skadlig programvara har förbättrats med förbättrade operativa säkerhetsåtgärder, vilket gör det mer utmanande att analysera och samla in intelligens.
Charming Kitten utmärker sig i att utnyttja social ingenjörstaktik för att locka mål. De skapar skräddarsydda falska identiteter på sociala medieplattformar och deltar i långvariga konversationer för att skapa förtroende innan de skickar skadliga länkar. Gruppen är också känd under olika namn, inklusive APT35, Cobalt Illusion, Mint Sandstorm (tidigare Phosphorus) och Yellow Garuda.
De senaste attackerna orkestrerade av Charming Kitten har använt ytterligare implantat som PowerLess och BellaCiao, vilket tyder på en mängd olika spionageverktyg som används för att uppnå sina strategiska mål.
POWERSTAR i korthet
POWERSTAR, även känd som CharmPower, är det senaste tillskottet till Charming Kittens arsenal. Det dokumenterades ursprungligen av Check Point i januari 2022, och avslöjade dess användning i attacker som utnyttjar Log4Shell-sårbarheterna i offentligt exponerade Java-applikationer.
Sedan dess har bakdörren observerats i minst två andra kampanjer, som rapporterades av PwC i juli 2022 och Microsoft i april 2023.
Volexity, som upptäckte en grundläggande variant av POWERSTAR 2021 distribuerad genom ett skadligt makro inbäddat i en DOCM-fil, identifierade en ny attackvåg i maj 2023. Denna våg använder en LNK-fil i en lösenordsskyddad RAR-fil för att ladda ner bakdörren från Backblaze . Dessutom har åtgärder vidtagits för att försvåra analysen.
Charming Kitten har implementerat en metod för att separera dekrypteringsprocessen från den initiala koden, förhindra framtida dekryptering av POWERSTAR-nyttolasten och lägga till ett operativt skydd mot analys och upptäckt.
POWERSTAR-bakdörren har ett brett utbud av funktioner som tillåter fjärrexekvering av PowerShell- och C#-kommandon, upprättande av persistens, insamling av systeminformation och nedladdning och exekvering av ytterligare moduler för processuppräkning, skärmdump, filsökning baserat på specifika tillägg, och övervakning av beständighetskomponenter.
Noterbart är att rensningsmodulen har förbättrats och utökats i den uppdaterade versionen för att radera alla spår av skadlig programvara och radera registernycklar relaterade till persistens. Dessa framsteg visar Charming Kittens pågående ansträngningar att förfina tekniker och undvika upptäckt.
Volexity upptäckte också en annan variant av POWERSTAR som försöker hämta en hårdkodad kommando-och-kontroll-server (C2) genom att avkoda en fil lagrad på det decentraliserade InterPlanetary Filesystem (IPFS). Detta betecknar gruppens strävan att förbättra motståndskraften hos dess attackinfrastruktur.
Samtidigt har MuddyWater (alias Static Kitten) använt ett tidigare odokumenterat C2-ramverk som heter PhonyC2 för att leverera skadliga nyttolaster till komprometterade värdar, vilket sammanfaller med denna utveckling.
