伊朗APT组织Charming Kitt更新Powerstar后门

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号现在只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【...】,然后点击【设为星标】即可。

网络安全公司 Volexity 的研究人员描述了最新的恶意软件变种是如何复杂的，并且很可能由自定义服务器端组件支持，该组件可以为 Powerstar 后门操作员自动执行更简单的操作。

该恶意软件的最新版本正在利用分布式文件协议来部署定制的网络钓鱼链接。

该恶意软件具有使用星际文件系统等功能，并将其解密功能和配置详细信息远程托管在可公开访问的云主机上。

今年 4 月，微软追踪到一个新近被指定为 Mint Sandstorm 的组织，该组织使用一种名为 CharmPower 的植入程序，通过鱼叉式网络钓鱼活动进行传播，其目标是与安全社区有联系并隶属于以色列、北美和欧洲的智库或大学的个人。

Charming Kitten 又名 Phosphorus、TA453、APT35、Cobalt Illusion、ITG18 和 Yellow Garuda。该组织自 2013 年以来一直在监视记者和活动人士。

研究人员表示，攻击者冒充以色列媒体组织的记者，向目标发送带有恶意附件的电子邮件。钓鱼邮件敦促目标查看一份与美国外交政策有关的文件。

一旦潜在受害者同意，为了进一步获得目标对象的信任，Charming Kitten 会发送另一封包含一系列问题的电子邮件，目标对象随后会回复这些问题的答案。

几天后，在取得目标对象的信任后，Charming Kitten 的运营人员发送了一份草稿。

“此草稿是一个受密码保护的 RAR 文件，其中包含恶意 LNK 文件。RAR 文件的密码已在后续电子邮件中提供。”

该恶意软件通过将解密方法与初始代码分开提供并且从不将其写入磁盘来限制被分析和检测暴露的风险。

研究人员表示：“这还有一个额外的好处，那就是可以充当操作护栏，因为将解密方法与其命令和控制服务器分离可以防止将来成功解密相应的 POWERSTAR 有效载荷。”

研究人员发现，该恶意软件用于截取屏幕截图并将其上传到攻击者控制的 C2 服务器，识别正在运行的防病毒软件，通过注册表运行项为 Powerstar 的 IPFS 变体建立持久性，收集系统信息，并最终使用清理模块删除其存在的证明。

IPFS是一种点对点节点网络，每个节点都存储文件碎片，这些碎片可通过其设计者称之为“内容标识符”的唯一指纹进行访问。其理念是通过文件的内容标识符而不是远程服务器上的位置来存储和检索文件。

协议发明者 Juan Benet在白皮书中将其描述为类似于“一个 BitTorrent 群，在一个 Git 存储库内交换对象”。

研究人员表示：“使用云托管提供商托管恶意软件代码和网络钓鱼内容是 Charming Kitten 的延续主题。Powerstar Cleanup 模块中对持久性机制和可执行有效负载的引用强烈暗示了 Charming Kitten 使用了更广泛的工具来进行恶意软件间谍活动。”

欢迎喜欢文章的朋友点赞、转发、赞赏，你的每一次鼓励，都是我继续前进的动力。

原文始发于微信公众号（紫队安全研究）：伊朗APT组织Charming Kitt更新Powerstar后门