Charming Kitten, l’acteur de l’\u00c9tat-nation affili\u00e9 au Corps des gardiens de la r\u00e9volution islamique (CGRI) iranien, a \u00e9t\u00e9 attribu\u00e9 \u00e0 une campagne de harponnage sur mesure qui fournit une version mise \u00e0 jour d’une porte d\u00e9rob\u00e9e PowerShell compl\u00e8te appel\u00e9e POWERSTAR.<\/p>\n
“Des mesures de s\u00e9curit\u00e9 op\u00e9rationnelles am\u00e9lior\u00e9es ont \u00e9t\u00e9 plac\u00e9es dans le logiciel malveillant pour rendre plus difficile l’analyse et la collecte de renseignements”, ont d\u00e9clar\u00e9 les chercheurs de Volexity, Ankur Saini et Charlie Gardner. a dit<\/a> dans un rapport publi\u00e9 cette semaine.<\/p>\n L’acteur de la menace est en quelque sorte un expert lorsqu’il s’agit d’utiliser l’ing\u00e9nierie sociale pour attirer des cibles, en cr\u00e9ant souvent de fausses personnalit\u00e9s sur mesure sur les plateformes de m\u00e9dias sociaux et en s’engageant dans des conversations soutenues pour \u00e9tablir des relations avant d’envoyer un lien malveillant. Il est \u00e9galement suivi sous les noms APT35, Cobalt Illusion, Mint Sandstorm (anciennement Phosphorus) et Yellow Garuda.<\/p>\n Les intrusions r\u00e9centes orchestr\u00e9es par Charming Kitten ont utilis\u00e9 d’autres implants tels que PowerLess et BellaCiao, sugg\u00e9rant que le groupe utilise un \u00e9ventail d’outils d’espionnage \u00e0 sa disposition pour r\u00e9aliser ses objectifs strat\u00e9giques.<\/p>\n POWERSTAR est un autre ajout \u00e0 l’arsenal du groupe. \u00c9galement appel\u00e9e CharmPower, la porte d\u00e9rob\u00e9e a \u00e9t\u00e9 document\u00e9e publiquement pour la premi\u00e8re fois par Check Point en janvier 2022, r\u00e9v\u00e9lant son utilisation dans le cadre d’attaques militarisant les vuln\u00e9rabilit\u00e9s Log4Shell dans les applications Java expos\u00e9es publiquement.<\/p>\n Il a depuis \u00e9t\u00e9 utilis\u00e9 dans au moins deux autres campagnes, comme document\u00e9 par PwC en juillet 2022 et Microsoft en avril 2023.<\/p>\n Volexity, qui a d\u00e9tect\u00e9 une variante rudimentaire de POWERSTAR en 2021 distribu\u00e9e par une macro malveillante int\u00e9gr\u00e9e dans le fichier DOCM, a d\u00e9clar\u00e9 que la vague d’attaque de mai 2023 exploite un fichier LNK dans un fichier RAR prot\u00e9g\u00e9 par mot de passe pour t\u00e9l\u00e9charger la porte d\u00e9rob\u00e9e de Backblaze, tout en prenant \u00e9galement des mesures pour entraver l’analyse.<\/p>\n “Avec POWERSTAR, Charming Kitten a cherch\u00e9 \u00e0 limiter le risque d’exposer ses logiciels malveillants \u00e0 l’analyse et \u00e0 la d\u00e9tection en fournissant la m\u00e9thode de d\u00e9cryptage s\u00e9par\u00e9ment du code initial et en ne l’\u00e9crivant jamais sur le disque”, ont d\u00e9clar\u00e9 les chercheurs.<\/p>\n “Cela a l’avantage suppl\u00e9mentaire d’agir comme un garde-corps op\u00e9rationnel, car le d\u00e9couplage de la m\u00e9thode de d\u00e9cryptage de son serveur de commande et de contr\u00f4le (C2) emp\u00eache le futur d\u00e9cryptage r\u00e9ussi de la charge utile POWERSTAR correspondante.”<\/p>\n La porte d\u00e9rob\u00e9e est livr\u00e9e avec un ensemble complet de fonctionnalit\u00e9s qui lui permettent d’ex\u00e9cuter \u00e0 distance des commandes PowerShell et C #, de configurer la persistance, de collecter des informations syst\u00e8me, de t\u00e9l\u00e9charger et d’ex\u00e9cuter davantage de modules pour \u00e9num\u00e9rer les processus en cours d’ex\u00e9cution, capturer des captures d’\u00e9cran, rechercher des fichiers correspondant \u00e0 des extensions sp\u00e9cifiques et surveiller si les composants de persistance sont toujours intacts.<\/p>\n \u00c9galement am\u00e9lior\u00e9 et \u00e9tendu par rapport \u00e0 la version pr\u00e9c\u00e9dente, le module de nettoyage est con\u00e7u pour effacer toutes les traces de l’empreinte du logiciel malveillant ainsi que pour supprimer les cl\u00e9s de registre li\u00e9es \u00e0 la persistance. Ces mises \u00e0 jour t\u00e9moignent des efforts continus de Charming Kitten pour affiner ses techniques et \u00e9chapper \u00e0 la d\u00e9tection.<\/p>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/06\/1686048876_77_Alerte-Zero-Day-Google-publie-un-correctif-pour-la-nouvelle-vulnerabilite.jpg\")
<\/a><\/center><\/div>\n
![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/06\/Microsoft-met-en-garde-contre-les-attaques-de-vol-dinformations.png\")
<\/a><\/center><\/div>\n