Des pirates iraniens utilisent la porte dérobée POWERSTAR dans le cadre d’attaques d’espionnage ciblées

« Des mesures de sécurité opérationnelle améliorées ont été placées dans le logiciel malveillant afin de rendre plus difficile l’analyse et la collecte de renseignements », ont déclaré les chercheurs de Volexity Ankur Saini et Charlie Gardner dans un rapport publié cette semaine.

L’acteur de la menace est en quelque sorte un expert lorsqu’il s’agit d’utiliser l’ingénierie sociale pour attirer des cibles, en créant souvent de fausses personnalités sur mesure sur les plateformes de médias sociaux et en engageant des conversations soutenues pour établir un rapport avant d’envoyer un lien malveillant. Il a également été repéré sous les noms d’APT35, Cobalt Illusion, Mint Sandstorm (anciennement Phosphorus) et Yellow Garuda.

Les récentes intrusions orchestrées par Charming Kitten ont utilisé d’autres implants tels que PowerLess et BellaCiao, ce qui laisse penser que le groupe utilise toute une série d’outils d’espionnage à sa disposition pour atteindre ses objectifs stratégiques. POWERSTAR vient compléter l’arsenal du groupe. Également appelée CharmPower, cette porte dérobée a été documentée publiquement pour la première fois par Check Point en janvier 2022, qui a découvert son utilisation dans le cadre d’attaques utilisant les vulnérabilités Log4Shell dans des applications Java exposées publiquement.

Il a depuis été utilisé dans au moins deux autres campagnes, documentées par PwC en juillet 2022 et par Microsoft en avril 2023. Volexity, qui a détecté une variante rudimentaire de POWERSTAR en 2021 distribuée par une macro malveillante intégrée dans un fichier DOCM, a déclaré que la vague d’attaques de mai 2023 exploite un fichier LNK à l’intérieur d’un fichier RAR protégé par mot de passe pour télécharger la porte dérobée à partir de Backblaze, tout en prenant des mesures pour entraver l’analyse.

« Avec POWERSTAR, Charming Kitten a cherché à limiter le risque d’exposer son logiciel malveillant à l’analyse et à la détection en livrant la méthode de décryptage séparément du code initial et en ne l’écrivant jamais sur le disque », ont déclaré les chercheurs. « Cela présente l’avantage supplémentaire de servir de garde-fou opérationnel, car le découplage de la méthode de décryptage de son serveur de commande et de contrôle (C2) empêche tout décryptage futur réussi de la charge utile POWERSTAR correspondante.

La porte dérobée est dotée d’un vaste ensemble de fonctionnalités qui lui permettent d’exécuter à distance des commandes PowerShell et C#, de configurer la persistance, de collecter des informations sur le système, de télécharger et d’exécuter d’autres modules afin d’énumérer les processus en cours, de réaliser des captures d’écran, de rechercher des fichiers correspondant à des extensions spécifiques et de vérifier si les composants de persistance sont toujours intacts. Le module de nettoyage, conçu pour effacer toutes les traces de l’empreinte du logiciel malveillant et pour supprimer les clés de registre liées à la persistance, a également été amélioré et étendu par rapport à la version précédente. Ces mises à jour témoignent des efforts continus de Charming Kitten pour affiner ses techniques afin d’échapper à la détection. Volexity a déclaré avoir également détecté une variante différente de POWERSTAR qui tente de récupérer le fichier de décodage du serveur C2 codé en dur et stocké dans le système de fichiers décentralisé InterPlanetary Filesystem (IPFS), signalant ainsi une tentative de rendre son infrastructure d’attaque plus résiliente.

Cette évolution coïncide avec l’utilisation par MuddyWater (alias Static Kitten) d’un cadre de commande et de contrôle (C2) précédemment non documenté, appelé PhonyC2, pour délivrer des charges utiles malveillantes à des hôtes compromis.

L’objectif global de POWERSTAR reste cohérent », ont déclaré les chercheurs, « les références aux mécanismes de persistance exécutables par les pirates ». « Les références aux mécanismes de persistance des charges utiles exécutables dans le module de nettoyage de POWERSTAR suggèrent fortement un ensemble plus large d’outils utilisés par Charming Kitten pour mener des activités d’espionnage à l’aide de logiciels malveillants.