Ένα νέο PowerShell backdoor, φαίνεται ότι χρησιμοποιείται από Ηacker της ιρανικής κρατικής ομάδας APT35, γνωστή και ως «Charming Kitten» ή «Phosphorus», για επιθέσεις Log4Shell.
Δείτε επίσης: Hackers μολύνθηκαν με το δικό τους RAT malware
Το ωφέλιμο φορτίο μπορεί να χειριστεί επικοινωνίες C2, να εκτελέσει απαρίθμηση συστήματος και τελικά να λάβει, να αποκρυπτογραφήσει και να φορτώσει πρόσθετες μονάδες.
Το Log4Shell εκμεταλλεύεται το CVE-2021-44228, μία κρίσιμη ευπάθεια απομακρυσμένης εκτέλεσης κώδικα στο Apache Log4j, που αποκαλύφθηκε τον Δεκέμβριο.
Σύμφωνα με ερευνητές της Check Point, η ομάδα APT35 ήταν μεταξύ των πρώτων που αξιοποίησε την ευπάθεια προτού οι στόχοι να προλάβουν να εφαρμόσουν ενημερώσεις ασφαλείας, σαρώνοντας για ευάλωτα συστήματα λίγες μέρες μετά τη δημόσια αποκάλυψή της.
Η Check Point που παρακολουθεί αυτές τις προσπάθειες, αποδίδει τη δραστηριότητα εκμετάλλευσης στην ομάδα APT35, καθώς οι επιθέσεις ρυθμίστηκαν βιαστικά χρησιμοποιώντας προηγουμένως εκτεθειμένη υποδομή, που ήταν γνωστό ότι χρησιμοποιούνταν από την ομάδα.
Οι αναλυτές εντόπισαν επίσης ένα νέο PowerShell backdoor που ονομάζεται «CharmPower».
Η εκμετάλλευση του CVE-2021-44228 έχει ως αποτέλεσμα την εκτέλεση μιας εντολής PowerShell με ένα ωφέλιμο φορτίο με κωδικοποίηση base64, λαμβάνοντας τελικά τη μονάδα «CharmPower» από έναν κάδο Amazon S3 που ελέγχεται από τους κακόβουλους παράγοντες.
Δείτε ακόμα: PowerShell 7.2: Διαθέσιμο και ενσωματωμένο στο Microsoft Update
Αυτή η βασική μονάδα μπορεί να εκτελέσει τις ακόλουθες κύριες λειτουργίες:
Επικύρωση σύνδεσης δικτύου – Κατά την εκτέλεση, το σενάριο περιμένει για μια ενεργή σύνδεση στο διαδίκτυο, κάνοντας αιτήματα HTTP POST στο google.com με την παράμετρο hi=hi.
Βασική απαρίθμηση συστήματος – Το σενάριο συλλέγει την έκδοση του λειτουργικού συστήματος Windows, το όνομα του υπολογιστή και τα περιεχόμενα ενός αρχείου Ni.txt στη διαδρομή $APPDATA. Το αρχείο πιθανώς δημιουργείται και συμπληρώνεται από διαφορετικές ενότητες που θα ληφθούν από την κύρια λειτουργική μονάδα.
Ανάκτηση τομέα C&C – Το κακόβουλο λογισμικό αποκωδικοποιεί τον τομέα C&C που ανακτήθηκε από μια hardcoded διεύθυνση URL hxxps://s3[.]amazonaws[.]com/doclibrarysales/3 που βρίσκεται στον ίδιο κάδο S3 από όπου έγινε λήψη του backdoor.
Λήψη, αποκρυπτογράφηση και εκτέλεση λειτουργικών μονάδων παρακολούθησης.
Η βασική μονάδα συνεχίζει να στέλνει αιτήματα HTTP POST στο C2 που είτε παραμένουν αναπάντητα είτε λαμβάνουν μια συμβολοσειρά Base64 που ξεκινά τη λήψη μιας πρόσθετης μονάδας PowerShell ή C#.
Το «CharmPower» είναι υπεύθυνο για την αποκρυπτογράφηση και τη φόρτωση αυτών των μονάδων και στη συνέχεια δημιουργεί ένα ανεξάρτητο κανάλι επικοινωνίας με το C2.
Δείτε επίσης: Intezer: Το SysJoker backdoor στοχεύει Windows, Linux και macOS
Οι πρόσθετες μονάδες που αποστέλλονται από το C2 είναι οι εξής:
Εφαρμογές – Απαριθμεί τις τιμές μητρώου απεγκατάστασης και χρησιμοποιεί την εντολή “wmic” για να καταλάβει ποιες εφαρμογές είναι εγκατεστημένες στο μολυσμένο σύστημα.
Στιγμιότυπα οθόνης – Καταγράφει στιγμιότυπα οθόνης σύμφωνα με μια καθορισμένη συχνότητα και τα ανεβάζει σε διακομιστή FTP χρησιμοποιώντας διαπιστευτήρια με σκληρό κώδικα.
Διαδικασία – Αρπάζει διεργασίες που εκτελούνται χρησιμοποιώντας την εντολή λίστας εργασιών.
Πληροφορίες συστήματος – Εκτελεί την εντολή “systeminfo” για τη συλλογή πληροφοριών συστήματος.
Command Execution – Απομακρυσμένη μονάδα εκτέλεσης εντολών που διαθέτει επιλογές Invoke-Expression, cmd και PowerShell.
Εκκαθάριση – Μονάδα για την κατάργηση όλων των ιχνών που έχουν απομείνει στο παραβιασμένο σύστημα, όπως καταχωρίσεις μητρώου και φακέλων εκκίνησης, αρχεία και διεργασίες.
Η Check Point παρατήρησε ομοιότητες μεταξύ του «CharmPower» και ενός λογισμικού κατασκοπείας Android που χρησιμοποιούσε η ομάδα APT35 στο παρελθόν, συμπεριλαμβανομένης της εφαρμογής των ίδιων λειτουργιών καταγραφής και της χρήσης ίδιας μορφής και σύνταξης.
