Hackers Iranianos Usando Backdoor POWERSTAR em Ataques de Espionagem Direcionados
3 de Julho de 2023

O Charming Kitten, um ator estatal afiliado ao Corpo de Guardiões da Revolução Islâmica do Irã (IRGC), foi atribuído a uma campanha de spear-phishing personalizada que entrega uma versão atualizada de um backdoor completamente equipado chamado POWERSTAR.

"Medidas aprimoradas de segurança operacional foram implementadas no malware para torná-lo mais difícil de ser analisado e coletar informações", disseram os pesquisadores da Volexity, Ankur Saini e Charlie Gardner, em um relatório publicado nesta semana.

O ator de ameaças é especialista em usar engenharia social para atrair alvos, muitas vezes criando personas falsas personalizadas em plataformas de mídia social e participando de conversas sustentadas para construir rapport antes de enviar um link malicioso.

Ele também é rastreado pelos nomes APT35, Cobalt Illusion, Mint Sandstorm (anteriormente Phosphorus) e Yellow Garuda.

Intrusões recentes orquestradas pelo Charming Kitten têm utilizado outros implantes, como PowerLess e BellaCiao, sugerindo que o grupo está utilizando uma variedade de ferramentas de espionagem disponíveis para alcançar seus objetivos estratégicos.

POWERSTAR é mais uma adição ao arsenal do grupo.

Também chamado CharmPower, o backdoor foi documentado publicamente pela Check Point em janeiro de 2022, revelando seu uso em ataques que exploram as vulnerabilidades do Log4Shell em aplicativos Java publicamente expostos.

Desde então, ele foi usado em pelo menos outras duas campanhas, conforme documentado pela PwC em julho de 2022 e pela Microsoft em abril de 2023.

A Volexity, que detectou uma variante rudimentar do POWERSTAR em 2021 distribuída por uma macro maliciosa embutida em um arquivo DOCM, disse que a onda de ataques de maio de 2023 utiliza um arquivo LNK dentro de um arquivo RAR protegido por senha para baixar o backdoor do Backblaze, ao mesmo tempo em que toma medidas para dificultar a análise.

"Com o POWERSTAR, o Charming Kitten procurou limitar o risco de expor seu malware à análise e detecção, entregando o método de descriptografia separadamente do código inicial e nunca gravando-o no disco", disseram os pesquisadores.

"Isso tem a vantagem adicional de atuar como uma proteção operacional, pois desvincular o método de descriptografia do servidor de comando e controle (C2) impede futuras descriptografias bem-sucedidas do payload POWERSTAR correspondente."

O backdoor possui um conjunto extenso de recursos que permitem a execução remota de comandos PowerShell e C#, estabelecer persistência, coletar informações do sistema e baixar e executar mais módulos para enumerar processos em execução, capturar screenshots, procurar por arquivos com extensões específicas e monitorar se os componentes de persistência ainda estão intactos.

Também foi aprimorado e expandido em relação à versão anterior o módulo de limpeza, que foi projetado para apagar todas as evidências da presença do malware, bem como excluir chaves de registro relacionadas à persistência.

Essas atualizações indicam os esforços contínuos do Charming Kitten para aprimorar suas técnicas e evitar detecção.

A Volexity também identificou uma variante diferente do POWERSTAR que tenta recuperar um servidor C2 codificado em um arquivo armazenado no InterPlanetary Filesystem (IPFS), sinalizando uma tentativa de tornar sua infraestrutura de ataque mais resiliente.

O desenvolvimento coincide com o uso do framework de comando e controle (C2) não documentado chamado PhonyC2 pelo MuddyWater (também conhecido como Static Kitten) para entregar payload malicioso a hosts comprometidos.

"O playbook geral de phishing usado pelo Charming Kitten e o objetivo geral do POWERSTAR permanecem consistentes", disseram os pesquisadores.

"As referências a mecanismos de persistência e payloads executáveis dentro do módulo de limpeza do POWERSTAR sugerem fortemente um conjunto mais amplo de ferramentas usadas pelo Charming Kitten para conduzir espionagem habilitada por malware."

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...