伊朗 APT 使用 POWERSTAR 后门恶意软件

Charming Kitten 是一个与伊朗伊斯兰革命卫队 (IRGC) 有联系的国家支持的威胁行为者，已被确定为复杂的鱼叉式网络钓鱼活动的肇事者。该活动提供了名为 POWERSTAR 的强大 PowerShell 后门的更新版本。

Volexity 研究人员 Ankur Saini 和 Charlie Gardner 报告称，该恶意软件已通过改进的操作安全措施得到增强，使得分析和收集情报变得更具挑战性。

Charming Kitten 擅长利用社会工程策略来吸引目标。他们在社交媒体平台上创建定制的虚假身份，并在发送恶意链接之前进行长时间的对话以建立信任。该组织还有各种名称，包括 APT35、Cobalt Illusion、Mint Sandstorm（以前称为 Phosphorus）和 Yellow Garuda。

Charming Kitten 最近策划的攻击利用了 PowerLess 和 BellaCiao 等其他植入程序，表明使用了多种间谍工具来实现其战略目标。

POWERSTAR 简介

POWERSTAR，也称为 CharmPower，是 Charming Kitten 武器库中的最新成员。 Check Point 最初于 2022 年 1 月记录了该漏洞，揭示了其在利用公开暴露的 Java 应用程序中 Log4Shell 漏洞的攻击中的用途。

从那时起，据普华永道于 2022 年 7 月和微软于 2023 年 4 月的报告，至少在另外两个活动中也观察到了该后门。

Volexity 在 2021 年检测到通过嵌入 DOCM 文件中的恶意宏分发的 POWERSTAR 基本变体，并在 2023 年 5 月发现了新的攻击浪潮。这波攻击利用受密码保护的 RAR 文件中的 LNK 文件从 Backblaze 下载后门。此外，还采取了阻碍分析的措施。

Charming Kitten 实施了一种将解密过程与初始代码分离的方法，防止未来对 POWERSTAR 有效负载进行解密，并增加针对分析和检测的操作保护措施。

POWERSTAR后门拥有广泛的功能，允许远程执行PowerShell和C#命令、建立持久性、收集系统信息以及下载和执行附加模块以进行进程枚举、屏幕截图、基于特定扩展名的文件搜索以及持久性组件的监视。

值得注意的是，清理模块在更新版本中得到了增强和扩展，可以清除恶意软件的所有痕迹并删除与持久性相关的注册表项。这些进步表明 Charming Kitten 正在不断努力改进技术和逃避检测。

Volexity 还发现了 POWERSTAR 的一个不同变体，它试图通过解码存储在去中心化星际文件系统 (IPFS) 上的文件来检索硬编码的命令和控制 (C2) 服务器。这表明该组织正在努力增强其攻击基础设施的弹性。

与此同时，MuddyWater（又名 Static Kitten）采用了之前未记录的名为 PhonyC2 的 C2 框架，向受感染的主机传递恶意负载，这与这些发展相一致。