İranlı APT Grubu Charming Kitten Güncellemeleri Powerstar Backdoor


Siber Savaş / Ulus-Devlet Saldırıları , Dolandırıcılık Yönetimi ve Siber Suçlar , Sosyal Mühendislik

Saldırganlar, Kimlik Avı Bağlantıları Dağıtarak Casusluk Yürütmek İçin Kötü Amaçlı Yazılımları Güncelliyor

Prajeet Nair (@prajeetspeaks) •
1 Temmuz 2023

İranlı APT Grubu Charming Kitten Güncellemeleri Powerstar Backdoor

Charming Kitten olarak bilinen İran hükümeti destekli bir bilgisayar korsanlığı grubu, kötü amaçlı yazılım cephaneliğini CharmPower olarak da bilinen Powerstar arka kapısının güncellenmiş bir sürümünü içerecek şekilde güncelledi.

Ayrıca bakınız: Canlı Web Semineri | Bankacılıkta İçeriden Gelen Tehditleri Ele Alma Sınırlamalarını Aşmak: Gerçek Güvenlik Zorlukları için Gerçek Çözümler

Siber güvenlik firması Volexity’deki araştırmacılar, en son kötü amaçlı yazılım varyantının nasıl karmaşık olduğunu ve muhtemelen Powerstar arka kapı operatörü için daha basit eylemleri otomatikleştiren özel bir sunucu tarafı bileşeni tarafından desteklendiğini açıkladı.

Kötü amaçlı yazılımın en son yinelemesi, özelleştirilmiş kimlik avı bağlantılarını dağıtmak için dağıtılmış bir dosya protokolünden yararlanıyor.

Kötü amaçlı yazılım, Gezegenler Arası Dosya Sisteminin kullanımı gibi özelliklerin yanı sıra şifre çözme işlevini ve yapılandırma ayrıntılarını halka açık bulut ana bilgisayarlarında uzaktan barındırma ile birlikte gelir.

Nisan ayında Microsoft, güvenlik topluluğuyla bağları olan ve İsrail, Kuzey Amerika ve Avrupa’daki düşünce kuruluşları veya üniversitelerle bağlantılı bireyleri hedef alan hedef odaklı kimlik avı kampanyaları yoluyla iletilen CharmPower adlı bir implant kullanarak Mint Sandstorm olarak yeni belirlenen bir grubu takip etti.

Charming Kitten ayrıca Fosfor, TA453, APT35, Kobalt İllüzyonu, ITG18 ve Sarı Garuda olarak da bilinir. Grup, en az 2013’ten beri gazetecileri ve aktivistleri gözetliyor.

Araştırmacılar, saldırganların hedefe kötü amaçlı bir ek içeren bir e-posta göndermek için bir İsrail medya kuruluşunun muhabirini taklit ettiğini söyledi. Kimlik avı e-postası, hedefi ABD dış politikasıyla ilgili bir belgeyi incelemeye teşvik eder.

Potansiyel kurban kabul ettiğinde, hedefin güvenini daha fazla kazanmak için Charming Kitten, bir soru listesi içeren başka bir iyi niyetli e-posta gönderir ve hedef daha sonra cevaplarla yanıt verir.

Birkaç gün sonra hedefin güvenini kazandıktan sonra Charming Kitten operatörleri bir taslak gönderir.

“Bu taslak, kötü amaçlı bir LNK dosyası içeren parola korumalı bir RAR dosyasıdır. RAR dosyasının parolası sonraki bir e-postada verilmiştir.”

Kötü amaçlı yazılım, şifre çözme yöntemini ilk koddan ayrı olarak sunarak ve asla diske yazmayarak analiz ve tespit yoluyla açığa çıkma riskini sınırlar.

Araştırmacılar, “Bu, operasyonel bir korkuluk görevi görme avantajına sahiptir, çünkü şifre çözme yöntemini komut ve kontrol sunucusundan ayırmak, ilgili POWERSTAR yükünün gelecekte başarılı bir şekilde şifresinin çözülmesini engeller” dedi.

Volexity’deki araştırmacılar, kötü amaçlı yazılımın ekran görüntüleri almak ve bunları saldırganın kontrolündeki C2 sunucusuna yüklemek, çalışan antivirüs yazılımını belirlemek, Kayıt Defteri Çalıştırma anahtarı aracılığıyla Powerstar’ın IPFS varyantı için kalıcılık sağlamak, sistem bilgilerini toplamak ve nihayetinde kanıtını silmek için kullanıldığını tespit etti. temizleme modülünü kullanarak varlığı.

IPFS, tasarımcılarının “içerik tanımlayıcısı” olarak adlandırdığı benzersiz bir parmak izi aracılığıyla erişilebilen dosya parçalarını depolayan eşler arası bir düğüm ağı olarak çalışır. Fikir, dosyaları uzak bir sunucudaki konumları yerine içerik tanımlayıcıları aracılığıyla depolamak ve almaktır.

Protokol mucidi Juan Benet, bir teknik incelemede bunu “tek bir BitTorrent sürüsüne, bir Git deposunda nesneleri değiş tokuş etmeye” benzer olarak tanımladı.

Araştırmacılar, “Hem kötü amaçlı yazılım kodunu hem de kimlik avı içeriğini barındırmak için bulut barındırma sağlayıcılarının kullanılması, Charming Kitten’ın devam eden bir temasıdır” dedi. “Powerstar Temizleme modülündeki kalıcılık mekanizmalarına ve yürütülebilir yüklere yapılan atıflar, Charming Kitten tarafından kötü amaçlı yazılım etkin casusluk yapmak için kullanılan daha geniş bir araç setini güçlü bir şekilde önermektedir.”





Source link