یک PowerShell Backdoor که قبلا سندی از آن موجود نبوده و کاملا غیرقابل شناسایی است، به صورت فعال مورد استفاده مهاجمان سایبری قرار گرفته است.
براساس ویژگی های آن، این بدافزار برای جاسوسی سایبری طراحی شده است و عمدتا درگیر استخراج داده ها از سیستم در معرض خطر می باشد.
در اولین شناسایی، بدافزار مذکور توسط هیچ یک از وندورها در VirusTotal قابل شناسایی نبوده است.
با این حال پوشش آن به دلیل اشتباه عملیاتی هکرها از بین رفت و به SafeBreach امکان دسترسی و رمزگشایی کدهای دستوری اجرایی ارسال شده، به دستگاههای آلوده را داد.
از اپلیکیشن کاریابی به PowerShell Backdoor
این حمله با دریافت یک ایمیل فیشینگ با یک سند ضمیمه مخرب به نام Apply Form.docm شروع می شود. براساس محتوای فایل و متادیتاها، این ایمیل به احتمال زیاد بعد از یک درخواست شغلی در لینکدین ارسال شده است.
سند شامل ماکروهای مخربی است که یک اسکریپت updater.vbs را اجرا می کند و وظیفه زمان بندی شده ای برای جعل هویت یک به روز رسانی معمول ویندوز ایجاد می کند.
اسکریپت VBS دو اسکریپت PowerShell با عنوانین Script.ps1 و Temp.ps1 اجرا می کند، هر دو اینها در کنار سند مخرب به شکل مبهمی ذخیره شده اند.
زمانی که SafeBreach برای اولین بار اسکریپتها را کشف کرد، هیچکدام از وندورهای آنتی ویروس در VirusTotal این اسکریپتها را به عنوان بدافزار شناسایی نکردند.
کد Script.ps1، کدهای دستوری مهاجم را به سرورهای کنترل C2 متصل می کند، ID سیستم قربانی را به اپراتورها ارسال می کند و سپس در انتظار دریافت دستور رمزنگاری شده AES-256 CBC می ماند.
براساس ID اکانت ارسالی، آنالیزهای SafeBreach نشان می دهد که 69 شناسه توسط C2 مهاجم ثبت شده و احتمالا این عدد تعداد تقریبی سیستم های آسیب دیده را نشان می دهد.
اسکریپت Temp.ps1 دستوراتی که در پاسخ دریافت می شود را رمزگشایی و اجرا کرده و نتیجه را بارگزاری نموده و از طریق POST به C2 ارسال می کند.
SafeBreach از کد شناسه قربانیان قابل پیش بینی استفاده نمود و اسکریپتی ایجاد کرد که میتواند دستورات ارسالی به هر یک از آنها را رمزگشایی کند.
آنالیزها نشان می دهد دو سوم از دستورات برای استخراج داده ها هستند و بقیه برای شمارش کاربران، فهرست بندی فایلها، حذف فایل و اکانتها و شمارش کلاینتهای RDP، می باشد.
تهدیدات مخفی ناشناخته
این Backdoor یک مثال خاص از تهدیدات مخفی ناشناس هستند که در حملات به سازمانهای دولتی و شرکتهای خصوصی استفاده می شود. کارشناسان امنیت سایبری نه تنها نیاز دارند در مورد تهدیدات شناخته شده و نوظهور آگاهی داشته باشند بلکه باید مسیرهای ناشناخته ای را که ممکن است قادر به دور زدن اقدامات امنیتی و اسکن های AV باشند را نیز در نظر بگیرند.درحالیکه بعضی از موتورهای AV می توانند به صورت اکتشافی رفتارهای مخرب در اسکریپتهای PowerShell را شناسایی کنند، مهاجمان سایبری مدام کدهای خود را برای دور زدن این شناسایی ها تغییر می دهند.
بهترین راهکار در حال حاضر، نصب به روز رسانی های امینتی در اسرع وقت، محدودیت استفاده دسترسی از راه دور اندپوینتها، پیروی از اصل کمترین سطح دسترسی و نظارت بر ترافیک شبکه به صورت منظم و بستن و محدودکردن پاورشل و جلوگیری از اجرا شدن اسکریپت های ناخواسته است.
منبع : https://www.bleepingcomputer.com/
