Seit Mai dieses Jahres nutzt die iranische Angreifergruppierung Charming Kitten[1] eine Spear-Phishing-Kampagne zur Verbreitung einer neuen Version der Powershell basierten Backdoor CharmPower (alias POWERSTAR).
Die Spear-Phishing-Kampagne zeichnet sich durch aktive Kommunikation der Angreifer über mehrere Tage aus. Zunächst versuchen die Angreifer dabei, das Vertrauen der Opfer zu gewinnen, indem sie legitime Dokumente und Fragestellungen übersenden. In der letzten Phase bekommt das Opfer ein passwortgeschütztes RAR-Archiv zugesandt, in welchem sich eine LNK-Datei befindet.
Die LNK-Datei lädt das initiale CharmPower-Skript herunter, welches selbst nur im Arbeitsspeicher ausgeführt wird und über mehrere Techniken zur Obfuskierung verfügt. Bei der Malware handelt es sich um eine Backdoor, die persistent auf dem System eingerichtet wird und unter anderem eine Ausführung von Powershell- und CSharp-Kommandos durch den Angreifer ermöglicht.
Eine Besonderheit der neuen Malware-Variante ist die Nutzung von Interplanetary File System (IPFS) als einen von mehreren
C2-Kanälen. Aktuelle IOCs, Yara-Rules und eine
Liste der genutzten IPFS werden durch den
Sicherheitsdienstleister Volaxity zur Verfügung gestellt, der auch eine ausführliche
Analyse der eingesetzten Schadsoftware veröffentlicht hat.
Insbesondere Personen und Organisationen, die sich schwerpunktmäßig mit dem Iran beschäftigen, könnten in den Fokus der Gruppierung geraten. Die Cyberabwehr im Landesamt für Verfassungsschutz empfiehlt daher den potenziell Betroffenen ihre Systeme entsprechend zu prüfen.
[1] siehe: https://attack.mitre.org/groups/G0059/ (dort: Associated Groups)