Charming Kitten, en iransk statsstøttet hackergruppe, har for nylig opgraderet sit arsenal med en opdateret version af Powerstar-bagdøren, også kendt som CharmPower.
Cybersikkerhedsfirmaet Volexitys forskere har analyseret denne seneste malware-variant og identificeret den som sofistikeret, der sandsynligvis drager fordel af en tilpasset server-side-komponent, der automatiserer enklere handlinger for Powerstar-bagdørsoperatøren.
Et bemærkelsesværdigt aspekt af den nye iteration er dens brug af en distribueret filprotokol til at implementere personlige phishing-links. Malwaren udnytter InterPlanetary File System (IPFS) og gemmer dets dekrypteringsfunktion og konfigurationsdetaljer på offentligt tilgængelige cloud-værter.
Tidligere i april sporede Microsoft en gruppe kaldet Mint Sandstorm, som brugte CharmPower-implantatet leveret gennem spear-phishing-kampagner. Deres mål var personer tilknyttet tænketanke, universiteter og sikkerhedssamfundet i Israel, Nordamerika og Europa.
Charming Kitten, også kendt under forskellige aliaser såsom Phosphorus, TA453, APT35, Cobalt Illusion, ITG18 og Yellow Garuda, har været engageret i at spionere på journalister og aktivister siden mindst 2013.
Charming kitten's social engineering strategi
Hackerne følger en smart tilgang til at narre deres mål. De efterligner en reporter fra en israelsk medieorganisation og sender en e-mail med en ondsindet vedhæftet fil, tilsyneladende relateret til amerikansk udenrigspolitik, til målet.
For at vinde målets tillid yderligere sender Charming Kitten endnu en harmløs e-mail med spørgsmål, og målet svarer med svar. Efter et par dage, når tilliden er etableret, sender angriberne et udkast til dokument, som i virkeligheden er en adgangskodebeskyttet RAR-fil, der indeholder en ondsindet LNK-fil. Adgangskoden til RAR-filen deles i en efterfølgende e-mail.
For at undgå opdagelse anvender malwaren en unik strategi. Den leverer dekrypteringsmetoden separat fra den oprindelige kode og undgår at skrive den til disk. Denne tilgang fungerer som et operationelt autoværn, der forhindrer vellykket dekryptering af POWERSTAR-nyttelasten i fremtiden ved at afkoble den fra kommando-og-kontrolserveren.
Forskerne har observeret, at malwaren udfører adskillige handlinger, herunder at tage skærmbilleder og uploade dem til den hackerkontrollerede C2-server, identificere kørende antivirussoftware, etablere persistens for IPFS-varianten af Powerstar via en Registry Run-nøgle, indsamle systemoplysninger og i sidste ende sletning af bevis for eksistens ved hjælp af et oprydningsmodul.
Brugen af cloud-hosting-udbydere til at huse både malware-kode og phishing-indhold er et tilbagevendende mønster udvist af Charming Kitten. Referencerne til persistensmekanismer og eksekverbare nyttelaster i Powerstar Cleanup-modulet antyder et bredere sæt værktøjer, som gruppen anvender til at udføre malware-aktiveret spionage.