ΑρχικήsecurityΝέο PowerShell backdoor προσποιείται το Windows Update

Νέο PowerShell backdoor προσποιείται το Windows Update

Ένα undocumented και πλήρως μη ανιχνεύσιμο backdoor PowerShell χρησιμοποιείται ενεργά από έναν απειλητικό παράγοντα που έχει στοχεύσει τουλάχιστον 69 οντότητες.

PowerShell

Δείτε επίσης: Βραζιλία: Η αστυνομία συνέλαβε πιθανό μέλος της ομάδας Lapsus$

Τα χαρακτηριστικά του κακόβουλου λογισμικού έχουν δημιουργηθεί για κυβερνοκατασκοπεία, η οποία επικεντρώνεται κυρίως στην κλοπή δεδομένων από το σύστημα που έχει παραβιαστεί.

Όταν εντοπίστηκε για πρώτη φορά το PowerShell backdoor δεν φαινόταν κακόβουλο σε κανέναν vendor στο scanning service VirusTotal.

Ωστόσο, η κάλυψη των χάκερ αποκαλύφθηκε λόγω επιχειρησιακών λαθών, επιτρέποντας στους αναλυτές της SafeBreach να αποκτήσουν πρόσβαση και να αποκρυπτογραφήσουν εντολές που έστειλαν οι επιτιθέμενοι για εκτέλεση σε μολυσμένες συσκευές.

Δείτε επίσης: Microsoft παραβίαση δεδομένων: Εκτέθηκαν πληροφορίες πελατών

Πώς ένα backdoor PowerShell μπορεί να κρυφτεί σε ένα job application

Η κακόβουλη καμπάνια ξεκινά με ένα phishing email που έχει συνημμένο ένα έγγραφο με τίτλο “Apply Form.docm”. Με βάση τα περιεχόμενα και τα metadata του αρχείου, φαίνεται να βασίζεται σε ένα job application στο LinkedIn.

PowerShell

Το έγγραφο περιλαμβάνει επιβλαβείς μακροεντολές που εκκινούν και εκτελούν αυτόματα ένα script που ονομάζεται ‘updater.vbs’ που δημιουργεί ένα νέο scheduled task για να μιμηθεί ψευδώς μια τυπική ενημέρωση των Windows.

Το VBS script εκτελεί στη συνέχεια δύο scripts PowerShell που ονομάζονται “Script.ps1” και  “Temp.ps1”. Αυτά τα scripts είναι αποθηκευμένα μέσα στο κακόβουλο έγγραφο, αλλά είναι σε μορφή που τα καθιστά δύσκολα κατανοητά.

Η SafeBreach ανακάλυψε πρώτη τα scripts που δεν εντοπίστηκαν από τους προμηθευτές antivirus στο VirusTotal.

το “Script.ps1” συνδέεται με τους command and control servers (C2) του επιτιθέμενου. Στη συνέχεια στέλνει ένα αναγνωριστικό θύματος στους χειριστές και περιμένει μια εντολή που θα λάβει σε κρυπτογραφημένη μορφή AES-256 CBC.

Με βάση το ID count, οι αναλυτές της SafeBreach κατέληξαν στο συμπέρασμα ότι το C2 είχε 69 καταγεγραμμένα IDs πριν από αυτούς. Αυτό είναι πιθανότατα πολύ κοντά στον αριθμό των υπολογιστών που παραβιάστηκαν. Το script “Temp.ps1” αποκωδικοποιεί οποιεσδήποτε εντολές στις απαντήσεις που λαμβάνονται, τις εκτελεί και στη συνέχεια τις κρυπτογραφεί πριν δημοσιεύσει τα αποτελέσματα μέσω ενός αιτήματος POST πίσω στον αρχικό C2.

Δείτε επίσης: Microsoft Azure SFX bug: Hackers κλέβουν συμπλέγματα Service Fabric

Το SafeBreach μπόρεσε να δημιουργήσει ένα script που αποκρυπτογραφεί τις εντολές που αποστέλλονται σε κάθε θύμα, εκμεταλλευόμενο το γεγονός ότι το IDing των θυμάτων μπορεί να προβλεφθεί.

Από όλες τις εντολές που αναλύθηκαν, τα δύο τρίτα από αυτές χρησιμοποιήθηκαν για την κλοπή δεδομένων. Οι υπόλοιπες χρήσεις αυτών των εντολών περιλάμβαναν την εξακρίβωση πληροφοριών χρήστη, την εξέταση καταλόγων αρχείων, τη διαγραφή αρχείων και λογαριασμών και την απαρίθμηση των RDP client.

PowerShell

Μη ανιχνεύσιμες απειλές

Αυτό το backdoor PowerShell είναι ένα χαρακτηριστικό παράδειγμα των άγνωστων και κρυφών απειλών που μπορούν να χρησιμοποιηθούν για επιθέσεις σε κυβερνητικά, εταιρικά και ιδιωτικά συστήματα χρηστών.

Οι υπερασπιστές πρέπει όχι μόνο να είναι ενημερωμένοι σχετικά με τις τρέχουσες ή μελλοντικές απειλές, αλλά και να λαμβάνουν υπόψη τους πιθανούς άγνωστους κινδύνους που θα μπορούσαν να μην εντοπιστούν από τα μέτρα ασφαλείας και το λογισμικό προστασίας από ιούς.

Παρόλο που ορισμένα λογισμικά AV μπορούν να ανιχνεύσουν προσωρινά επιβλαβή δραστηριότητα σε PowerShell scripts, οι εγκληματίες του κυβερνοχώρου ενημερώνουν συνεχώς τον κώδικά τους για να αποφύγουν αυτά τα μέτρα ασφαλείας.

Ο πιο απλός τρόπος για να επιτευχθεί αυτό είναι η άμεση εφαρμογή ενημερώσεων ασφαλείας, ο περιορισμός της απομακρυσμένης πρόσβασης στα endpoints, η χορήγηση μόνο των ελάχιστων απαιτούμενων δικαιωμάτων και η συχνή παρατήρηση της κυκλοφορίας του δικτύου.

Πηγή πληροφοριών: bleepingcomputer.com

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS