伊朗 APT 使用 POWERSTAR 後門惡意軟件
Charming Kitten 是一個與伊朗伊斯蘭革命衛隊 (IRGC) 有聯繫的國家支持的威脅行為者,已被確定為複雜的魚叉式網絡釣魚活動的肇事者。該活動提供了名為 POWERSTAR 的強大 PowerShell 後門的更新版本。
Volexity 研究人員 Ankur Saini 和 Charlie Gardner 報告稱,該惡意軟件已通過改進的操作安全措施得到增強,使得分析和收集情報變得更具挑戰性。
Charming Kitten 擅長利用社會工程策略來吸引目標。他們在社交媒體平台上創建定制的虛假身份,並在發送惡意鏈接之前進行長時間的對話以建立信任。該組織還有各種名稱,包括 APT35、Cobalt Illusion、Mint Sandstorm(以前稱為 Phosphorus)和 Yellow Garuda。
Charming Kitten 最近策劃的攻擊利用了 PowerLess 和 BellaCiao 等其他植入程序,表明使用了多種間諜工具來實現其戰略目標。
POWERSTAR 簡介
POWERSTAR,也稱為 CharmPower,是 Charming Kitten 武器庫中的最新成員。 Check Point 最初於 2022 年 1 月記錄了該漏洞,揭示了其在利用公開暴露的 Java 應用程序中 Log4Shell 漏洞的攻擊中的用途。
從那時起,據普華永道於 2022 年 7 月和微軟於 2023 年 4 月的報告,至少在另外兩個活動中也觀察到了該後門。
Volexity 在 2021 年檢測到通過嵌入 DOCM 文件中的惡意宏分發的 POWERSTAR 基本變體,並在 2023 年 5 月發現了新的攻擊浪潮。這波攻擊利用受密碼保護的 RAR 文件中的 LNK 文件從 Backblaze 下載後門。此外,還採取了阻礙分析的措施。
Charming Kitten 實施了一種將解密過程與初始代碼分離的方法,防止未來對 POWERSTAR 有效負載進行解密,並增加針對分析和檢測的操作保護措施。
POWERSTAR後門擁有廣泛的功能,允許遠程執行PowerShell和C#命令、建立持久性、收集系統信息以及下載和執行附加模塊以進行進程枚舉、屏幕截圖、基於特定擴展名的文件搜索以及持久性組件的監視。
值得注意的是,清理模塊在更新版本中得到了增強和擴展,可以清除惡意軟件的所有痕跡並刪除與持久性相關的註冊表項。這些進步表明 Charming Kitten 正在不斷努力改進技術和逃避檢測。
Volexity 還發現了 POWERSTAR 的一個不同變體,它試圖通過解碼存儲在去中心化星際文件系統 (IPFS) 上的文件來檢索硬編碼的命令和控制 (C2) 服務器。這表明該組織正在努力增強其攻擊基礎設施的彈性。
與此同時,MuddyWater(又名 Static Kitten)採用了之前未記錄的名為 PhonyC2 的 C2 框架,向受感染的主機傳遞惡意負載,這與這些發展相一致。