POWERSTAR バックドア
イランイスラム革命防衛隊(IRGC)に関連する国家支援団体「The Charming Kitten」が、別の標的型スピアフィッシングキャンペーンの実行犯として特定された。このキャンペーンには、POWERSTAR として知られる包括的な PowerShell バックドアの更新版の配布が含まれます。
この最新バージョンの POWERSTAR は運用上のセキュリティ対策が強化されており、セキュリティ アナリストや諜報機関がマルウェアに関する情報を分析して収集することが大幅に困難になっています。これらのセキュリティ対策は、検出を阻止し、バックドアの内部動作を理解する取り組みを妨げるように設計されています。
目次
魅力的な子猫のサイバー犯罪者はソーシャル エンジニアリング戦術に大きく依存しています
Charming Kitten攻撃者は、APT35、Cobalt Illusion、Mint Sandstorm (旧名 Phosphorus)、Yellow Garuda などのさまざまな名前でも知られており、ターゲットを欺くためにソーシャル エンジニアリング技術を活用する専門知識を実証しています。彼らは、ソーシャル メディア プラットフォーム上でカスタムの偽ペルソナを作成し、信頼と信頼関係を確立するために長時間の会話を行うなど、高度な戦術を採用します。関係が確立されると、攻撃者は戦略的に悪意のあるリンクを被害者に送信します。
Charming Kitten は、ソーシャル エンジニアリングの能力に加えて、侵入テクニックの武器を拡大しました。このグループが組織した最近の攻撃には、PowerLess や BellaCiao などの他のインプラントの導入が含まれています。これは、脅威アクターがさまざまなスパイ活動ツールを所有し、戦略的目的を達成するためにそれらを戦略的に利用していることを示しています。この多用途性により、チャーミング キトゥンは各作戦の特定の状況に応じて戦術やテクニックを適応させることができます。
POWERSTAR バックドア感染ベクターは進化している
2023 年 5 月の攻撃キャンペーンでは、Charming Kitten は POWERSTAR マルウェアの有効性を高めるための巧妙な戦略を採用しました。不正なコードが分析や検出にさらされるリスクを軽減するために、彼らは 2 段階のプロセスを実装しました。最初に、LNK ファイルを含むパスワードで保護された RAR ファイルを利用して、Backblaze からバックドアのダウンロードが開始されます。このアプローチは、彼らの意図を曖昧にし、分析の取り組みを妨げるのに役立ちました。
研究者らによると、Charming Kittenは意図的に復号化メソッドを最初のコードから分離し、ディスクへの書き込みを回避したという。そうすることで、運用上のセキュリティ層がさらに追加されました。コマンドアンドコントロール (C2) サーバーからの復号化メソッドの分離は、対応する POWERSTAR ペイロードを復号化しようとする今後の試みに対する安全策として機能します。この戦術は、攻撃者がマルウェアの全機能にアクセスすることを効果的に防ぎ、Charming Kitten の制御外で復号化が成功する可能性を制限します。
POWERSTARは幅広い脅威機能を搭載
POWERSTAR バックドアは、PowerShell および C# コマンドのリモート実行を可能にする広範な機能を誇ります。さらに、永続性の確立が容易になり、重要なシステム情報が収集され、追加モジュールのダウンロードと実行が可能になります。これらのモジュールは、実行中のプロセスの列挙、スクリーンショットのキャプチャ、特定の拡張子を持つファイルの検索、永続性コンポーネントの整合性の監視など、さまざまな目的を果たします。
さらに、クリーンアップ モジュールは、以前のバージョンと比較して大幅な改善と拡張を受けました。このモジュールは、マルウェアの存在の痕跡をすべて排除し、永続化に関連するレジストリ キーを根絶するように特別に設計されています。これらの機能強化は、Charming Kitten が技術を磨き、検出を回避しようと継続的に取り組んでいることを示しています。
研究者らは、ハードコードされた C2 サーバーを取得するための独特のアプローチを採用する POWERSTAR の別の亜種も観察しています。この亜種は、分散型 InterPlanetary Filesystem (IPFS) に保存されているファイルをデコードすることでこれを実現します。この方法を活用することで、Charming Kitten は攻撃インフラストラクチャの回復力を強化し、検出と緩和策を回避する能力を強化することを目指しています。
