Puerta trasera POWERSTAR
The Charming Kitten, un grupo patrocinado por el estado vinculado al Cuerpo de la Guardia Revolucionaria Islámica de Irán (IRGC), ha sido identificado como el perpetrador detrás de otra campaña de phishing dirigido. Esta campaña implica la distribución de una variante actualizada de un completo backdoor de PowerShell conocido como POWERSTAR.
Esta última versión de POWERSTAR se ha mejorado con medidas de seguridad operativa mejoradas, lo que hace que sea mucho más difícil para los analistas de seguridad y las agencias de inteligencia analizar y recopilar información sobre el malware. Estas medidas de seguridad están diseñadas para frustrar la detección y obstaculizar los esfuerzos para comprender el funcionamiento interno de la puerta trasera.
Tabla de contenido
Los ciberdelincuentes encantadores confían en gran medida en las tácticas de ingeniería social
Los actores de amenazas Charming Kitten , también conocidos por varios otros nombres como APT35, Cobalt Illusion, Mint Sandstorm (anteriormente Phosphorus) y Yellow Garuda, han demostrado experiencia en el aprovechamiento de técnicas de ingeniería social para engañar a sus objetivos. Emplean tácticas sofisticadas, incluida la creación de personajes falsos personalizados en las plataformas de redes sociales y entablan conversaciones prolongadas para establecer confianza y compenetración. Una vez que se establece una relación, envían estratégicamente enlaces maliciosos a sus víctimas.
Además de su destreza en ingeniería social, Charming Kitten ha ampliado su arsenal de técnicas de intrusión. Los ataques recientes orquestados por el grupo han implicado el despliegue de otros implantes, como PowerLess y BellaCiao. Esto indica que el actor de la amenaza posee una amplia gama de herramientas de espionaje, utilizándolas estratégicamente para lograr sus objetivos estratégicos. Esta versatilidad permite que Charming Kitten adapte sus tácticas y técnicas según las circunstancias específicas de cada operación.
Los vectores de infección de puerta trasera POWERSTAR están evolucionando
En la campaña de ataque de mayo de 2023, Charming Kitten empleó una estrategia inteligente para mejorar la eficacia del malware POWERSTAR. Para mitigar el riesgo de exponer su código incorrecto al análisis y la detección, implementaron un proceso de dos pasos. Inicialmente, se utiliza un archivo RAR protegido por contraseña que contiene un archivo LNK para iniciar la descarga de la puerta trasera de Backblaze. Este enfoque sirvió para ofuscar sus intenciones e impedir los esfuerzos de análisis.
Según los investigadores, Charming Kitten separó intencionalmente el método de descifrado del código inicial y evitó escribirlo en el disco. Al hacerlo, agregaron una capa adicional de seguridad operativa. El desacoplamiento del método de descifrado del servidor de comando y control (C2) sirve como protección contra futuros intentos de descifrar la carga útil de POWERSTAR correspondiente. Esta táctica evita que los adversarios accedan a la funcionalidad completa del malware y limita el potencial de descifrado exitoso fuera del control de Charming Kitten.
POWERSTAR lleva una amplia gama de funciones amenazantes
El backdoor POWERSTAR cuenta con una amplia gama de capacidades que le permiten realizar la ejecución remota de comandos de PowerShell y C#. Además, facilita el establecimiento de persistencia, recopila información vital del sistema y permite la descarga y ejecución de módulos adicionales. Estos módulos sirven para varios propósitos, como enumerar procesos en ejecución, capturar capturas de pantalla, buscar archivos con extensiones específicas y monitorear la integridad de los componentes de persistencia.
Además, el módulo de limpieza ha experimentado importantes mejoras y ampliaciones en comparación con las versiones anteriores. Este módulo está diseñado específicamente para eliminar todo rastro de la presencia del malware y erradicar las claves de registro asociadas con la persistencia. Estas mejoras demuestran el compromiso continuo de Charming Kitten para refinar sus técnicas y evadir la detección.
Los investigadores también han observado una variante diferente de POWERSTAR que emplea un enfoque distinto para recuperar un servidor C2 codificado. Esta variante logra esto mediante la decodificación de un archivo almacenado en el sistema de archivos interplanetario descentralizado (IPFS). Al aprovechar este método, Charming Kitten tiene como objetivo reforzar la resiliencia de su infraestructura de ataque y mejorar su capacidad para evadir las medidas de detección y mitigación.
