Поддерживаемая государством иранская хакерская группа, отслеживаемая как APT35 (также известная как Phosphorus или Charming Kitten), в настоящее время развертывает новый бэкдор под названием PowerLess, разработанный с использованием PowerShell.
Согласно отчету, опубликованному сегодня командой Cybereason Nocturnus, группа угроз также использовала ранее неизвестное вредоносное ПО для развертывания дополнительных модулей, в том числе похитителей информации и кейлоггеров .
Бэкдор PowerLess имеет зашифрованные каналы связи управления и контроля, позволяет выполнять команды и убивать запущенные процессы на скомпрометированных системах.
Он также избегает обнаружения, работая в контексте приложения .NET, что позволяет ему скрыться от решений безопасности, не запуская новый экземпляр PowerShell.
«Проанализированный набор инструментов включает чрезвычайно модульное, многоступенчатое вредоносное ПО, которое расшифровывает и развертывает дополнительные полезные нагрузки в несколько этапов как для скрытности, так и для эффективности. На момент написания этого отчета некоторые из IOC оставались активными, доставляя новые полезные нагрузки» , Исследователи Cybereason сказали .
В январе операторы APT35 также использовали еще один ранее недокументированный бэкдор PowerShell, получивший название CharmPower, в атаках с использованием эксплойтов Log4Shell .
Поток атаки (Cybereason)
Ссылка на программу-вымогатель Memento
Изучая атаки, в которых использовался недавно обнаруженный бэкдор PowerLess, исследователи также обнаружили потенциальные связи с программой-вымогателем Memento.Эта программа-вымогатель активна с апреля 2021 года и используется для атак на серверы VMware vCenter с использованием эксплойтов, предназначенных для злоупотребления критической уязвимостью удаленного выполнения кода до аутентификации, исправленной за несколько месяцев до этого, в феврале 2021 года.
Sophos наблюдала, как операторы Memento переключались с систем шифрования с программным обеспечением-вымогателем на основе Python на перемещение файлов в защищенные паролем архивы WinRAR из-за активной защиты от программ-вымогателей на взломанных устройствах.
Ссылки включают общие шаблоны TTP, автоматически сгенерированные строки и домен (google.onedriver-srv[.]ml).
Этот домен связан с IP-адресом, упомянутым в совместном бюллетене , выпущенном агентствами кибербезопасности США и Великобритании в ноябре, относительно иранских хакерских групп, нацеленных на серверы Microsoft Exchange и Fortinet.
Также в ноябре Microsoft Threat Intelligence Center (MSTIC) заявил, что отслеживает шесть различных иранских групп угроз, которые развертывают программы-вымогатели и извлекают данные в ходе атак, начавшихся еще в сентябре 2020 года.
Атаки программ-вымогателей со стороны иранских APT (Microsoft)
«Активность Phosphorus в отношении ProxyShell происходила примерно в те же сроки, что и Memento», — заявили в Cybereason Nocturnus Team.
«Сообщалось, что в этот период иранские злоумышленники обращались к программам-вымогателям, что подтверждает гипотезу о том, что Memento управляется иранским злоумышленником».
Перевод - Google
Bleeping Computer
Последнее редактирование модератором:
