伊朗 APT 使用 POWERSTAR 後門惡意軟件

Charming Kitten 是一個與伊朗伊斯蘭革命衛隊 (IRGC) 有聯繫的國家支持的威脅行為者，已被確定為複雜的魚叉式網絡釣魚活動的肇事者。該活動提供了名為 POWERSTAR 的強大 PowerShell 後門的更新版本。

Volexity 研究人員 Ankur Saini 和 Charlie Gardner 報告稱，該惡意軟件已通過改進的操作安全措施得到增強，使得分析和收集情報變得更具挑戰性。

Charming Kitten 擅長利用社會工程策略來吸引目標。他們在社交媒體平台上創建定制的虛假身份，並在發送惡意鏈接之前進行長時間的對話以建立信任。該組織還有各種名稱，包括 APT35、Cobalt Illusion、Mint Sandstorm（以前稱為 Phosphorus）和 Yellow Garuda。

Charming Kitten 最近策劃的攻擊利用了 PowerLess 和 BellaCiao 等其他植入程序，表明使用了多種間諜工具來實現其戰略目標。

POWERSTAR 簡介

POWERSTAR，也稱為 CharmPower，是 Charming Kitten 武器庫中的最新成員。 Check Point 最初於 2022 年 1 月記錄了該漏洞，揭示了其在利用公開暴露的 Java 應用程序中 Log4Shell 漏洞的攻擊中的用途。

從那時起，據普華永道於 2022 年 7 月和微軟於 2023 年 4 月的報告，至少在另外兩個活動中也觀察到了該後門。

Volexity 在 2021 年檢測到通過嵌入 DOCM 文件中的惡意宏分發的 POWERSTAR 基本變體，並在 2023 年 5 月發現了新的攻擊浪潮。這波攻擊利用受密碼保護的 RAR 文件中的 LNK 文件從 Backblaze 下載後門。此外，還採取了阻礙分析的措施。

Charming Kitten 實施了一種將解密過程與初始代碼分離的方法，防止未來對 POWERSTAR 有效負載進行解密，並增加針對分析和檢測的操作保護措施。

POWERSTAR後門擁有廣泛的功能，允許遠程執行PowerShell和C#命令、建立持久性、收集系統信息以及下載和執行附加模塊以進行進程枚舉、屏幕截圖、基於特定擴展名的文件搜索以及持久性組件的監視。

值得注意的是，清理模塊在更新版本中得到了增強和擴展，可以清除惡意軟件的所有痕跡並刪除與持久性相關的註冊表項。這些進步表明 Charming Kitten 正在不斷努力改進技術和逃避檢測。

Volexity 還發現了 POWERSTAR 的一個不同變體，它試圖通過解碼存儲在去中心化星際文件系統 (IPFS) 上的文件來檢索硬編碼的命令和控制 (C2) 服務器。這表明該組織正在努力增強其攻擊基礎設施的彈性。

與此同時，MuddyWater（又名 Static Kitten）採用了之前未記錄的名為 PhonyC2 的 C2 框架，向受感染的主機傳遞惡意負載，這與這些發展相一致。