Ngày 30 tháng 6 năm 2023Tin tức về tin tặcGián điệp mạng/Phần mềm độc hại
.jpg)
Charming Kitten, diễn viên quốc gia liên kết với Lực lượng Vệ binh Cách mạng Hồi giáo Iran (IRGC), đã được cho là có liên quan đến một chiến dịch lừa đảo trực tuyến chuyên biệt cung cấp phiên bản cập nhật của cửa hậu PowerShell có đầy đủ tính năng có tên là POWERSTAR.
Các nhà nghiên cứu Ankur Saini và Charlie Gardner của Volexity cho biết trong một báo cáo được công bố trong tuần này: “Đã có các biện pháp bảo mật hoạt động được cải thiện được đặt trong phần mềm độc hại để khiến việc phân tích và thu thập thông tin tình báo trở nên khó khăn hơn”.
Tác nhân đe dọa là một chuyên gia khi sử dụng kỹ thuật xã hội để thu hút các mục tiêu, thường tạo ra các nhân vật giả phù hợp trên các nền tảng truyền thông xã hội và tham gia vào các cuộc trò chuyện lâu dài để xây dựng mối quan hệ trước khi gửi một liên kết độc hại. Nó cũng được theo dõi dưới tên APT35, Cobalt Illusion, Mint Sandstorm (trước đây là Phosphorus) và Yellow Garuda.
Các cuộc xâm nhập gần đây do Charming Kitten dàn dựng đã sử dụng các phần mềm cấy ghép khác như PowerLess và BellaCiao, cho thấy nhóm này đang sử dụng một loạt các công cụ gián điệp để thực hiện các mục tiêu chiến lược của mình.
POWERSTAR là một bổ sung khác cho kho vũ khí của nhóm. Còn được gọi là CharmPower, cửa hậu lần đầu tiên được Check Point ghi lại công khai vào tháng 1 năm 2022, phát hiện ra việc sử dụng nó liên quan đến các cuộc tấn công vũ khí hóa các lỗ hổng Log4Shell trong các ứng dụng Java bị lộ công khai.
Kể từ đó, nó đã được đưa vào sử dụng trong ít nhất hai chiến dịch khác, theo tài liệu của PwC vào tháng 7 năm 2022 và của Microsoft vào tháng 4 năm 2023.
Volexity, đã phát hiện một biến thể thô sơ của POWERSTAR vào năm 2021 được phân phối bởi một macro độc hại được nhúng trong tệp DOCM, cho biết làn sóng tấn công vào tháng 5 năm 2023 sử dụng tệp LNK bên trong tệp RAR được bảo vệ bằng mật khẩu để tải xuống cửa hậu từ Backblaze, đồng thời thực hiện các bước để cản trở việc phân tích.
Các nhà nghiên cứu cho biết: “Với POWERSTAR, Charming Kitten đã tìm cách hạn chế rủi ro lộ phần mềm độc hại của họ để phân tích và phát hiện bằng cách cung cấp phương pháp giải mã riêng biệt với mã ban đầu và không bao giờ ghi nó vào đĩa”.
“Điều này có thêm phần thưởng là hoạt động như một lan can bảo vệ hoạt động, vì việc tách rời phương thức giải mã khỏi máy chủ chỉ huy và kiểm soát (C2) của nó sẽ ngăn cản việc giải mã thành công tải trọng POWERSTAR tương ứng trong tương lai.”
Cửa hậu đi kèm với một bộ tính năng mở rộng cho phép nó thực thi các lệnh PowerShell và C# từ xa, thiết lập tính bền vững, thu thập thông tin hệ thống, tải xuống và thực thi nhiều mô-đun hơn để liệt kê các quy trình đang chạy, chụp ảnh màn hình, tìm kiếm các tệp phù hợp với các tiện ích mở rộng cụ thể và theo dõi nếu các thành phần kiên trì vẫn còn nguyên vẹn.
Cũng được cải tiến và mở rộng so với phiên bản cũ hơn là mô-đun dọn dẹp được thiết kế để xóa tất cả dấu vết của phần mềm độc hại cũng như xóa các khóa đăng ký liên quan đến tính bền bỉ. Những cập nhật này chỉ ra những nỗ lực liên tục của Charming Kitten để tinh chỉnh các kỹ thuật của nó và tránh bị phát hiện.
Volexity cho biết họ cũng đã phát hiện ra một biến thể khác của POWERSTAR đang cố truy xuất máy chủ C2 được mã hóa cứng bằng cách giải mã một tệp được lưu trữ trên Hệ thống tệp liên hành tinh phi tập trung (IPFS), báo hiệu nỗ lực làm cho cơ sở hạ tầng tấn công của nó trở nên linh hoạt hơn.
Sự phát triển trùng khớp với việc MuddyWater (còn gọi là Static Kitten) sử dụng khung lệnh và kiểm soát (C2) không có giấy tờ trước đây có tên là PhonyC2 để phân phối tải trọng độc hại đến các máy chủ bị xâm nhập.
Các nhà nghiên cứu cho biết: “Kịch bản lừa đảo chung được sử dụng bởi Charming Kitten và mục đích tổng thể của POWERSTAR vẫn nhất quán”. “Các tham chiếu đến cơ chế bền vững và tải trọng thực thi trong mô-đun Dọn dẹp POWERSTAR gợi ý rõ ràng về một bộ công cụ rộng hơn được Charming Kitten sử dụng để thực hiện hoạt động gián điệp hỗ trợ phần mềm độc hại.”
