Μια ομάδα hacking που υποστηρίζεται από το Ιράν και αναφέρεται ως APT35 (γνωστή και ως Phosphorus ή Charming Kitten) αναπτύσσει τώρα ένα νέο backdoor που ονομάζεται PowerLess.
Δείτε επίσης: Προμηθευτής των Apple και Tesla “χτυπήθηκε” από ransomware
Η ομάδα χρησιμοποίησε και ένα άγνωστο malware για την ανάπτυξη πρόσθετων λειτουργικών modules, συμπεριλαμβανομένων των info stealers και keyloggers, σύμφωνα με μια αναφορά που δημοσιεύτηκε σήμερα από την Cybereason Nocturnus Team.
Το backdoor PowerLess διαθέτει κρυπτογραφημένα κανάλια επικοινωνίας εντολών και ελέγχου και επιτρέπει την εκτέλεση εντολών και την εξάλειψη διεργασιών που εκτελούνται σε παραβιασμένα συστήματα.
Αποφεύγει και τον εντοπισμό εκτελώντας στο πλαίσιο μιας εφαρμογής .NET, η οποία του επιτρέπει να κρύβεται από τις λύσεις ασφαλείας μη εκκινώντας ένα νέο instance PowerShell.
Δείτε επίσης: QNAP NAS: Αναγκαστική ενημέρωση στο firmware για το DeadBolt ransomware
Τον Ιανουάριο, οι χειριστές APT35 ανέπτυξαν και ένα άλλο backdoor PowerShell που δεν είχε τεκμηριωθεί προηγουμένως με την ονομασία CharmPower σε επιθέσεις που αξιοποιούσαν exploits Log4Shell.
Σύνδεση με το Memento ransomware
Ενώ εξέταζαν επιθέσεις όπου χρησιμοποιήθηκε το backdoor PowerLess, οι ερευνητές βρήκαν και πιθανές συνδέσεις με το Memento ransomware.
Αυτό το ransomware είναι ενεργό από τον Απρίλιο του 2021, και αναπτύσσεται σε επιθέσεις εναντίον server VMware vCenter χρησιμοποιώντας exploits που έχουν σχεδιαστεί για την κατάχρηση ενός κρίσιμου ελαττώματος εκτέλεσης απομακρυσμένου κώδικα pre-auth που επιδιορθώθηκε τον Φεβρουάριο του 2021.
Η Sophos έχει δει τους χειριστές Memento να αλλάζουν από συστήματα κρυπτογράφησης με strain ransomware που βασίζεται στην Python στη μετακίνηση αρχείων σε αρχεία WinRAR που προστατεύονται με κωδικό πρόσβασης λόγω της προστασίας κατά του ransomware που είναι ενεργή σε παραβιασμένες συσκευές.
Τα links περιλαμβάνουν κοινά μοτίβα TTP, strings που δημιουργούνται αυτόματα και ένα domain (google.onedriver-srv[.]ml).
Δείτε επίσης: LockBit ransomware: Linux έκδοση στοχεύει VMware ESXi servers
Αυτό το domain συνδέεται με μια διεύθυνση IP που αναφέρεται σε ένα κοινό advisory που εκδόθηκε από τις υπηρεσίες κυβερνοασφάλειας των ΗΠΑ και του Ηνωμένου Βασιλείου τον Νοέμβριο σχετικά με τις ιρανικές ομάδες hacking που στοχεύουν servers Microsoft Exchange και Fortinet.
Πηγή πληροφοριών: bleepingcomputer.com
