攻击者正在积极使用先前未检测到且未记录的 PowerShell 后门,该攻击者针对至少 69 个实体。
基于其特征,该恶意软件专为网络间谍活动而设计,主要从事从受感染系统中泄露数据的活动。
首次检测到 PowerShell 后门时,VirusTotal 扫描服务上的任何供应商都没有将其视为恶意。
然而,由于黑客的操作错误,它的掩护被揭穿,允许 SafeBreach 分析师 访问和解密攻击者发送的命令,以便在受感染的设备上执行。
从求职申请到 PowerShell 后门
攻击始于一封带有名为“Apply Form.docm”的恶意文档的网络钓鱼电子邮件。根据文件内容和元数据,它可能以基于 LinkedIn 的工作申请为主题。
该文档包含恶意宏,这些宏会丢弃并执行“updater.vbs”脚本,该脚本创建计划任务以模拟例行 Windows 更新。
VBS 脚本然后执行两个 PowerShell 脚本,“Script.ps1”和“Temp.ps1”,这两个脚本都以模糊的形式存储在恶意文档中。
当 SafeBreach 首次发现这些脚本时,VirusTotal 上的防病毒供应商均未将 PowerShell 脚本检测为恶意脚本。
“Script.ps1”连接到攻击者的命令和控制服务器 (C2),向操作员发送受害者 ID,然后等待以 AES-256 CBC 加密形式接收的命令。
根据 ID 计数,SafeBreach 分析师得出结论,威胁参与者的 C2 在他们之前记录了 69 个 ID,这可能是被破坏计算机的大致数量。
“Temp.ps1”脚本解码响应中的命令,执行它,然后加密并通过 POST 请求将结果上传到 C2。
SafeBreach 利用可预测的受害者 ID 并创建了一个脚本,可以解密发送给每个受害者的命令。
分析人员发现,三分之二的命令用于泄露数据,其他命令用于用户枚举、文件列表、文件和帐户的删除以及 RDP 客户端枚举。
.png)
未知的隐秘威胁
这个 PowerShell 后门是用于攻击政府、企业和私人用户系统的未知隐秘威胁的典型示例。
防御者不仅需要了解已知或新出现的威胁,还需要考虑可能能够绕过安全措施和反病毒扫描的未知向量。
虽然一些 AV 引擎可以启发式地检测 PowerShell 脚本中的恶意行为,但威胁参与者不断改进其代码以绕过这些检测。
实现这一目标的最佳方法是尽快应用安全更新,限制对端点的远程访问,遵循最小权限原则,并定期监控网络流量。
22 年 10 月 21 日更新:我们之前将脚本称为“不可检测”,而我们应该使用未检测到的脚本。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 黑客使用新的隐形PowerShell后门来攻击60多名受害者
