POWERSTAR-Hintertür
The Charming Kitten, eine staatlich geförderte Gruppe mit Verbindungen zum Korps der Islamischen Revolutionsgarden (IRGC) des Iran, wurde als Täter hinter einer weiteren gezielten Spear-Phishing-Kampagne identifiziert. Bei dieser Kampagne geht es um die Verbreitung einer aktualisierten Variante einer umfassenden PowerShell-Hintertür namens POWERSTAR.
Diese neueste Version von POWERSTAR wurde um verbesserte betriebliche Sicherheitsmaßnahmen erweitert, wodurch es für Sicherheitsanalysten und Geheimdienste erheblich schwieriger wird, die Malware zu analysieren und Informationen über sie zu sammeln. Diese Sicherheitsmaßnahmen sollen die Entdeckung vereiteln und Bemühungen behindern, das Innenleben der Hintertür zu verstehen.
Inhaltsverzeichnis
Cyberkriminelle von The Charming Kitten verlassen sich stark auf Social-Engineering-Taktiken
Die Bedrohungsakteure von Charming Kitten, auch bekannt unter verschiedenen anderen Namen wie APT35, Cobalt Illusion, Mint Sandstorm (ehemals Phosphorus) und Yellow Garuda, haben bewiesen, dass sie mit Social-Engineering-Techniken ihre Ziele täuschen können. Sie wenden ausgefeilte Taktiken an, darunter die Erstellung benutzerdefinierter Fake-Personas auf Social-Media-Plattformen und die Teilnahme an längeren Gesprächen, um Vertrauen und Beziehungen aufzubauen. Sobald eine Beziehung aufgebaut ist, versenden sie gezielt bösartige Links an ihre Opfer.
Zusätzlich zu seinen Social-Engineering-Fähigkeiten hat das Charming Kitten sein Arsenal an Einbruchstechniken erweitert. Zu den jüngsten von der Gruppe organisierten Angriffen gehörte der Einsatz anderer Implantate wie PowerLess und BellaCiao. Dies weist darauf hin, dass der Bedrohungsakteur über vielfältige Spionageinstrumente verfügt und diese strategisch zur Erreichung seiner strategischen Ziele einsetzt. Diese Vielseitigkeit ermöglicht es dem Charming Kitten, seine Taktiken und Techniken an die spezifischen Umstände jeder Operation anzupassen.
POWERSTAR-Backdoor-Infektionsvektoren entwickeln sich weiter
Bei der Angriffskampagne im Mai 2023 nutzte Charming Kitten eine clevere Strategie, um die Wirksamkeit der POWERSTAR-Malware zu steigern. Um das Risiko zu verringern, dass ihr fehlerhafter Code einer Analyse und Erkennung ausgesetzt wird, haben sie einen zweistufigen Prozess implementiert. Zunächst wird eine passwortgeschützte RAR-Datei mit einer LNK-Datei verwendet, um den Download der Backdoor von Backblaze zu starten. Dieser Ansatz diente dazu, ihre Absichten zu verschleiern und Analysebemühungen zu behindern.
Den Forschern zufolge trennte das Charming Kitten die Entschlüsselungsmethode absichtlich vom ursprünglichen Code und vermied es, ihn auf die Festplatte zu schreiben. Dadurch fügten sie eine zusätzliche Ebene der Betriebssicherheit hinzu. Die Entkopplung der Entschlüsselungsmethode vom Command-and-Control (C2)-Server dient als Schutz vor zukünftigen Versuchen, die entsprechende POWERSTAR-Nutzlast zu entschlüsseln. Diese Taktik verhindert effektiv, dass Angreifer auf die volle Funktionalität der Malware zugreifen, und schränkt das Potenzial für eine erfolgreiche Entschlüsselung außerhalb der Kontrolle von Charming Kitten ein.
POWERSTAR verfügt über eine breite Palette bedrohlicher Funktionen
Die POWERSTAR-Backdoor verfügt über umfangreiche Funktionen, die es ihr ermöglichen, PowerShell- und C#-Befehle remote auszuführen. Darüber hinaus erleichtert es den Aufbau von Persistenz, sammelt wichtige Systeminformationen und ermöglicht das Herunterladen und Ausführen zusätzlicher Module. Diese Module dienen verschiedenen Zwecken, z. B. der Aufzählung laufender Prozesse, der Erfassung von Screenshots, der Suche nach Dateien mit bestimmten Erweiterungen und der Überwachung der Integrität von Persistenzkomponenten.
Darüber hinaus wurde das Bereinigungsmodul im Vergleich zu früheren Versionen deutlich verbessert und erweitert. Dieses Modul wurde speziell entwickelt, um alle Spuren der Präsenz der Malware zu beseitigen und mit Persistenz verbundene Registrierungsschlüssel zu löschen. Diese Verbesserungen zeigen das kontinuierliche Engagement von Charming Kitten, seine Techniken zu verfeinern und der Entdeckung zu entgehen.
Forscher haben auch eine andere Variante von POWERSTAR beobachtet, die einen bestimmten Ansatz zum Abrufen eines hartcodierten C2-Servers verwendet. Diese Variante erreicht dies durch die Dekodierung einer Datei, die auf dem dezentralen InterPlanetary Filesystem (IPFS) gespeichert ist. Durch den Einsatz dieser Methode möchte das Charming Kitten die Widerstandsfähigkeit seiner Angriffsinfrastruktur stärken und seine Fähigkeit verbessern, Erkennungs- und Abwehrmaßnahmen zu umgehen.
