Charming Kitten, l’acteur de l’État-nation affilié au Corps des gardiens de la révolution islamique (CGRI) iranien, a été attribué à une campagne de harponnage sur mesure qui fournit une version mise à jour d’une porte dérobée PowerShell complète appelée POWERSTAR.
« Des mesures de sécurité opérationnelles améliorées ont été placées dans le logiciel malveillant pour rendre plus difficile l’analyse et la collecte de renseignements », ont déclaré les chercheurs de Volexity, Ankur Saini et Charlie Gardner. a dit dans un rapport publié cette semaine.
L’acteur de la menace est en quelque sorte un expert lorsqu’il s’agit d’utiliser l’ingénierie sociale pour attirer des cibles, en créant souvent de fausses personnalités sur mesure sur les plateformes de médias sociaux et en s’engageant dans des conversations soutenues pour établir des relations avant d’envoyer un lien malveillant. Il est également suivi sous les noms APT35, Cobalt Illusion, Mint Sandstorm (anciennement Phosphorus) et Yellow Garuda.
Les intrusions récentes orchestrées par Charming Kitten ont utilisé d’autres implants tels que PowerLess et BellaCiao, suggérant que le groupe utilise un éventail d’outils d’espionnage à sa disposition pour réaliser ses objectifs stratégiques.
POWERSTAR est un autre ajout à l’arsenal du groupe. Également appelée CharmPower, la porte dérobée a été documentée publiquement pour la première fois par Check Point en janvier 2022, révélant son utilisation dans le cadre d’attaques militarisant les vulnérabilités Log4Shell dans les applications Java exposées publiquement.
Il a depuis été utilisé dans au moins deux autres campagnes, comme documenté par PwC en juillet 2022 et Microsoft en avril 2023.
Volexity, qui a détecté une variante rudimentaire de POWERSTAR en 2021 distribuée par une macro malveillante intégrée dans le fichier DOCM, a déclaré que la vague d’attaque de mai 2023 exploite un fichier LNK dans un fichier RAR protégé par mot de passe pour télécharger la porte dérobée de Backblaze, tout en prenant également des mesures pour entraver l’analyse.
« Avec POWERSTAR, Charming Kitten a cherché à limiter le risque d’exposer ses logiciels malveillants à l’analyse et à la détection en fournissant la méthode de décryptage séparément du code initial et en ne l’écrivant jamais sur le disque », ont déclaré les chercheurs.
« Cela a l’avantage supplémentaire d’agir comme un garde-corps opérationnel, car le découplage de la méthode de décryptage de son serveur de commande et de contrôle (C2) empêche le futur décryptage réussi de la charge utile POWERSTAR correspondante. »
La porte dérobée est livrée avec un ensemble complet de fonctionnalités qui lui permettent d’exécuter à distance des commandes PowerShell et C #, de configurer la persistance, de collecter des informations système, de télécharger et d’exécuter davantage de modules pour énumérer les processus en cours d’exécution, capturer des captures d’écran, rechercher des fichiers correspondant à des extensions spécifiques et surveiller si les composants de persistance sont toujours intacts.
Également amélioré et étendu par rapport à la version précédente, le module de nettoyage est conçu pour effacer toutes les traces de l’empreinte du logiciel malveillant ainsi que pour supprimer les clés de registre liées à la persistance. Ces mises à jour témoignent des efforts continus de Charming Kitten pour affiner ses techniques et échapper à la détection.
Volexity a déclaré avoir également détecté une variante différente de POWERSTAR qui tente de récupérer un serveur C2 codé en dur en décodant un fichier stocké sur le système de fichiers interplanétaire décentralisé (IPFS), signalant une tentative de rendre son infrastructure d’attaque plus résistante.
Le développement coïncide avec l’utilisation par MuddyWater (alias Static Kitten) d’un cadre de commande et de contrôle (C2) précédemment non documenté appelé PhonyC2 pour fournir une charge utile malveillante aux hôtes compromis.
« Le manuel de phishing général utilisé par Charming Kitten et l’objectif général de POWERSTAR restent cohérents », ont déclaré les chercheurs. « Les références aux mécanismes de persistance et aux charges utiles exécutables dans le module POWERSTAR Cleanup suggèrent fortement un ensemble plus large d’outils utilisés par Charming Kitten pour mener un espionnage activé par les logiciels malveillants. »