Iraanse hackers gebruiken nieuwe PowerShell-backdoor bij cyberspionageaanvallen

piratas informáticos iraníes Nachrichten

Een geavanceerde aanhoudende dreigingsgroep met links naar Iran heeft zijn malwaretoolset bijgewerkt met een nieuw op PowerShell gebaseerd implantaat genaamd Powerless achterdeurblijkt uit nieuw onderzoek gepubliceerd door Cybereason.

Het in Boston gevestigde cyberbeveiligingsbedrijf schreef de malware toe aan een hackgroep die bekend staat als Charming Kitten (ook bekend als Phosphorous, APT35 of TA453), terwijl ook de ontwijkende PowerShell-uitvoering van de achterdeur wordt opgeroepen.

“De PowerShell-code wordt uitgevoerd in de context van een .NET-toepassing, waardoor ‘powershell.exe’ niet wordt gestart, waardoor het beveiligingsproducten kan omzeilen”, zegt Daniel Frank, senior malware-onderzoeker bij Cybereason, zei. “De geanalyseerde toolset omvat extreem modulaire, multi-staged malware die extra payloads in verschillende fasen ontsleutelt en implementeert voor zowel stealth als efficiëntie.”

De dreigingsactor, die in ieder geval sinds 2017 actief is, zat de afgelopen jaren achter een reeks campagnes, waaronder campagnes waarbij de tegenstander zich voordeed als journalisten en geleerden om doelen te misleiden om malware te installeren en geheime informatie te stelen.

Iraanse hackers

Eerder deze maand maakte Check Point Research details bekend van een spionageoperatie waarbij de hackgroep gebruikmaakte van de Log4Shell-kwetsbaarheden om een ​​modulaire achterdeur genaamd CharmPower in te zetten voor vervolgaanvallen.

De nieuwste verfijningen aan zijn arsenaal, zoals opgemerkt door Cybereason, vormen een geheel nieuwe toolset die de PowerLess Backdoor omvat, die in staat is om extra modules te downloaden en uit te voeren, zoals een browserinfo-stealer en een keylogger.

Ook mogelijk gekoppeld aan dezelfde ontwikkelaar van de achterdeur zijn een aantal andere malware-artefacten, waaronder een audiorecorder, een eerdere variant van de informatie-stealer en wat de onderzoekers vermoeden dat het een onvoltooide ransomware-variant gecodeerd in .NET.

Bovendien zijn er overlappingen in de infrastructuur vastgesteld tussen de Phosphorus-groep en een nieuwe ransomware-stam genaamd aandenkendie voor het eerst verscheen in november 2021 en de ongebruikelijke stap nam om bestanden te vergrendelen in met een wachtwoord beveiligde archieven, gevolgd door het coderen van het wachtwoord en het verwijderen van de originele bestanden, nadat hun pogingen om de bestanden rechtstreeks te coderen werden geblokkeerd door eindpuntbeveiliging.

“De activiteit van Phosphorus met betrekking tot ProxyShell vond plaats in ongeveer hetzelfde tijdsbestek als Memento,” zei Frank. “Iraanse dreigingsactoren zouden in die periode ook ransomware gebruiken, wat de hypothese versterkt dat Memento wordt beheerd door een Iraanse dreigingsactor.”

David
Rate author
Hackarizona