Daha önce belgelenmemiş ve tamamen saptanamayan (FUD) bir PowerShell arka kapısı hakkında ayrıntılar ortaya çıktı ve bu, kendisini bir Windows güncelleme sürecinin parçası olarak gizleyerek gizliliğini kazandı.
SafeBreach güvenlik araştırması direktörü Tomer Bar, “Kendi geliştirdiği gizli araç ve ilgili C2 komutları, yaklaşık 100 kurbanı hedef alan karmaşık, bilinmeyen bir tehdit aktörünün işi gibi görünüyor,” dedi. söz konusu yeni bir raporda.
Bir isimsiz tehdit aktörükötü amaçlı yazılımı içeren saldırı zincirleri, silahlı bir saldırıyla başlar. Microsoft Word belgesi şirkete göre, 25 Ağustos 2022’de Ürdün’den yüklendi.
Cazibe belgesiyle ilişkili meta veriler, ilk izinsiz giriş vektörünün LinkedIn tabanlı bir mızrakla kimlik avı saldırısı olduğunu gösterir ve bu, sonuçta bir gömülü makro kodu parçası aracılığıyla bir PowerShell betiğinin yürütülmesine yol açar.
PowerShell betiği (Script1.ps1), uzak bir komut ve kontrol (C2) sunucusuna bağlanmak ve ikinci bir PowerShell betiği aracılığıyla güvenliği ihlal edilmiş makinede başlatılacak bir komutu almak için tasarlanmıştır (sıcaklık.ps1).
Ancak, her bir kurbanı (yani, 0, 1, 2, vb.) benzersiz bir şekilde tanımlamak için önemsiz bir artımlı tanımlayıcı kullanarak aktör tarafından yapılan operasyonel bir güvenlik hatası, C2 sunucusu tarafından verilen komutların yeniden yapılandırılmasına izin verdi.
Yayınlanan dikkate değer komutlardan bazıları, çalışan işlemlerin listesinin çıkarılması, belirli klasörlerdeki dosyaların numaralandırılması, whoami’nin başlatılması ve genel kullanıcı klasörleri altındaki dosyaların silinmesidir.
Yazılı olarak, 32 güvenlik sağlayıcısı ve 18 kötü amaçlı yazılımdan koruma motoru, sırasıyla sahte belgeyi ve PowerShell komut dosyalarını kötü amaçlı olarak işaretler.
Bulgular, Microsoft’un Office uygulamalarında varsayılan olarak Excel 4.0 (XLM veya XL4) ve Visual Basic for Applications (VBA) makrolarını engellemek için adımlar atması ve tehdit aktörlerinin alternatif dağıtım yöntemlerine dönmesini istemesiyle ortaya çıktı.