Porte dérobée POWERSTAR
The Charming Kitten, un groupe parrainé par l'État et lié au Corps des gardiens de la révolution islamique (CGRI) iranien, a été identifié comme l'auteur d'une autre campagne ciblée de harponnage. Cette campagne implique la distribution d'une variante mise à jour d'une porte dérobée PowerShell complète connue sous le nom de POWERSTAR.
Cette dernière version de POWERSTAR a été améliorée avec des mesures de sécurité opérationnelles améliorées, ce qui rend considérablement plus difficile pour les analystes de sécurité et les agences de renseignement d'analyser et de recueillir des informations sur le malware. Ces mesures de sécurité sont conçues pour contrecarrer la détection et entraver les efforts visant à comprendre le fonctionnement interne de la porte dérobée.
Table des matières
Les cybercriminels charmants chatons s’appuient fortement sur les tactiques d’ingénierie sociale
Les acteurs de la menace Charming Kitten , également connus sous divers autres noms tels que APT35, Cobalt Illusion, Mint Sandstorm (anciennement Phosphorus) et Yellow Garuda, ont démontré leur expertise dans l'utilisation de techniques d'ingénierie sociale pour tromper leurs cibles. Ils emploient des tactiques sophistiquées, y compris la création de faux personnages personnalisés sur les plateformes de médias sociaux et s'engagent dans des conversations prolongées pour établir la confiance et les relations. Une fois la relation établie, ils envoient stratégiquement des liens malveillants à leurs victimes.
En plus de ses prouesses d'ingénierie sociale, le charmant chaton a élargi son arsenal de techniques d'intrusion. Les attaques récentes orchestrées par le groupe ont impliqué le déploiement d'autres implants, tels que PowerLess et BellaCiao. Cela indique que l'auteur de la menace possède une gamme variée d'outils d'espionnage, les utilisant stratégiquement pour atteindre ses objectifs stratégiques. Cette polyvalence permet au Charming Kitten d'adapter ses tactiques et ses techniques en fonction des circonstances spécifiques de chaque opération.
Les vecteurs d’infection de porte dérobée POWERSTAR évoluent
Lors de la campagne d'attaque de mai 2023, le charmant chaton a utilisé une stratégie intelligente pour améliorer l'efficacité du logiciel malveillant POWERSTAR. Pour atténuer le risque d'exposer leur mauvais code à l'analyse et à la détection, ils ont mis en place un processus en deux étapes. Initialement, un fichier RAR protégé par mot de passe contenant un fichier LNK est utilisé pour lancer le téléchargement de la porte dérobée depuis Backblaze. Cette approche a servi à obscurcir leurs intentions et à entraver les efforts d'analyse.
Selon les chercheurs, le Charming Kitten a intentionnellement séparé la méthode de décryptage du code initial et a évité de l'écrire sur le disque. Ce faisant, ils ont ajouté une couche supplémentaire de sécurité opérationnelle. Le découplage de la méthode de déchiffrement du serveur Command-and-Control (C2) sert de protection contre de futures tentatives de déchiffrement de la charge utile POWERSTAR correspondante. Cette tactique empêche efficacement les adversaires d'accéder à toutes les fonctionnalités du logiciel malveillant et limite le potentiel de décryptage réussi en dehors du contrôle de Charming Kitten.
POWERSTAR offre une large gamme de fonctions menaçantes
La porte dérobée POWERSTAR dispose d'une gamme étendue de fonctionnalités qui lui permettent d'exécuter à distance des commandes PowerShell et C#. De plus, il facilite l'établissement de la persistance, collecte des informations système vitales et permet le téléchargement et l'exécution de modules supplémentaires. Ces modules servent à diverses fins, telles que l'énumération des processus en cours d'exécution, la capture d'écrans, la recherche de fichiers avec des extensions spécifiques et la surveillance de l'intégrité des composants de persistance.
De plus, le module de nettoyage a subi des améliorations et des extensions significatives par rapport aux versions précédentes. Ce module est spécifiquement conçu pour éliminer toute trace de la présence du malware et éradiquer les clés de registre associées à la persistance. Ces améliorations démontrent l'engagement continu de Charming Kitten à affiner ses techniques et à échapper à la détection.
Les chercheurs ont également observé une variante différente de POWERSTAR qui utilise une approche distincte pour récupérer un serveur C2 codé en dur. Cette variante y parvient en décodant un fichier stocké sur le système de fichiers interplanétaire décentralisé (IPFS). En tirant parti de cette méthode, Charming Kitten vise à renforcer la résilience de son infrastructure d'attaque et à améliorer sa capacité à échapper aux mesures de détection et d'atténuation.
