Powerstar-Backdoor in Spearphishing-Kampagne

 Die Backdoor verfügt über umfangreiche Funktionen wie zum Beispiel:

• PowerShell- und C#-Befehle aus der Ferne ausführen
• Persistenz einrichten
• Systeminformationen sammeln
• weitere Module herunterladen und ausführen (Zweck: laufende Prozesse feststellen, Screenshots anfertigen, nach Dateien mit bestimmten Erweiterungen suchen und Persistenzkomponenten auf Unversehrtheit überwachen)

Verbessert und gegenüber der Vorgängerversion erweitert wurde das Bereinigungsmodul. Dieses beseitigt alle Spuren des Malware-Fußabdrucks und löscht persistenzbezogene Registrierungsschlüssel.

Check Point hat diese auch als CharmPower bezeichnete Backdoor erstmals im Januar 2022 öffentlich dokumentiert. Ihre Verwendung war im Zusammenhang mit Angriffen aufgedeckt worden, die die Log4Shell-Schwachstellen in öffentlich zugänglichen Java-Anwendungen ausgenutzt hatten.

Die Spearphishing-Kampagne wird der Hacker-Gruppierung Charming Kitten zugeschrieben. Dies ist eine nationalstaatliche Gruppierung mit Verbindungen zur iranischen Revolutionsgarde. Charming Kitten ist bekannt für ihre Social-Engineering-Angriffe. Sie erstellt oft maßgeschneiderte, gefälschte Identitäten auf Social-Media-Plattformen und führt zunächst eine anhaltende Kommunikation, um eine Beziehung aufzubauen. Erst dann sendet sie einen bösartigen Link.

Bei den jüngsten Eindringversuchen von Charming Kitten wurde auch andere Malware wie PowerLess und BellaCiao eingesetzt. Dies deutet darauf hin, dass die Gruppierung eine Reihe von Spionagetools einsetzt, um ihre strategischen Ziele zu erreichen. Powerstar ist eine weitere Ergänzung im Arsenal der Gruppierung.

Die Aktualisierungen von Powerstar deuten darauf hin, dass Charming Kitten weiterhin daran arbeitet, ihre Techniken zu verfeinern und der Erkennung zu entgehen. Volexity hat nach eigenen Angaben eine andere Variante von Powerstar entdeckt. Diese versucht einen hartkodierten C2-Server zu nutzen, indem sie eine im dezentralisierten InterPlanetary Filesystem (IPFS) gespeicherte Datei entschlüsselt. Das deutet auf einen Versuch hin, die Angriffsinfrastruktur widerstandsfähiger zu machen.

Die Entwicklung fällt zusammen mit der Verwendung eines bisher nicht dokumentierten Command-and-Control-Frameworks (C2) mit dem Namen PhonyC2 durch die Hacker-Gruppierung MuddyWater (auch bekannt als Static Kitten). Das Framework liefert bösartige Nutzdaten an kompromittierte Hosts. Diese Entwicklungen erhöhen das Bedrohungspotenzial in Deutschland, da beide Akteure mitunter auch hier aktiv sind. Die Verbesserung der Tools und die Anpassung der Infrastruktur deuten auf weitere Kampagnen hin, die auch in Deutschland durchgeführt werden können.

• Beachten Sie die allgemeinen Handlungsempfehlungen und Vorsichtsmaßnahmen zum Thema Phishing.
• Bilden Sie sich und Ihre Mitarbeiter ständig weiter. Informieren Sie sich zu aktuellen Bedrohungen und wie man diese erkennt.
• Halten Sie grundsätzlich alle Systeme stets auf dem aktuellen Stand.
• Verwenden Sie weitere Schutzmaßnahmen wie Firewall, Intrusion-Detection-System, Antiviren-Software sowie eine Multifaktorauthentifizierung.
• Darüber hinaus ist ein gesundes Misstrauen stets ratsam.

Charming Kitten ist auch unter folgenden Namen bekannt:

• APT35
• Cobalt Illusion
• Mint Sandstorm (zuvor Phosphorus)
• Yellow Garuda