根据《黑客新闻》的报道,伊朗国家支持的网络威胁组织“魅力小猫”于5月开始发起新一轮的网络钓鱼攻击,部署了新的“POWERSTAR”后门。Volexity的报告指出,魅力小猫在最新的“POWERSTAR”攻击中采取了额外措施,以避免被侦测。这些措施包括在密码保护的RAR文件中嵌入LNK文件,以便通过Backblaze下载后门。
研究人员还发现,这个后门不仅允许远程执行PowerShell和C#命令,还能够收集系统数据和截屏,以及执行其他模块的下载。此外,它还移除了与持久性相关的注册表键和其他恶意活动的迹象。还有一种“POWERSTAR”变种,可以通过去中心化的星际文件系统InterPlanetary Filesystem存储文件解码来获取硬编码的C2服务器。研究人员指出:“在POWERSTAR清理模块中提到的持久性机制和可执行有效载荷,强烈暗示了‘魅力小猫’使用更大范围的工具进行恶意软件支持的间谍活动。”
特征说明攻击类型网络钓鱼后门名称POWERSTAR主要行动者魅力小猫Charming Kitten手法利用密码保护的RAR文件下载恶意软件功能远程执行命令、收集系统数据、下载其他模块持久性机制移除与恶意活动相关的注册表项,支持间谍活动通过这些发现,研究人员强调,魅力小猫正在不断进化其攻击手段,表明其具有更复杂和系统化的间谍攻击能力。这一现象值得各国网络安全团队的高度警惕和应对。
