黑客雇傭組織開發出新型 PowerShell 后門

名為DeathStalker的網絡雇傭兵組織在最近的攻擊中一直在使用新的powershell后門。

DeathStalker是由卡巴斯基（Kaspersky）發現的黑客攻擊組織，自2012年以來一直瞄準全球組織，主要是律師事務所和金融實體。受害組織是位于阿根廷，中國，塞浦路斯，印度，以色列的中小型企業，黎巴嫩，瑞士，俄羅斯，臺灣，土耳其，英國和阿拉伯聯合酋長國。

卡巴斯基專家確定了一個自7月中以來一直在攻擊中使用的被稱為PowerPepper的后門 。

“PowerPepper是Windows內存PowerShell后門，可以執行遠程發送的Shell命令。” 讀取卡巴斯基發表的分析。“嚴格按照DeathStalker的傳統，植入程序將嘗試通過各種技巧來逃避檢測或沙盒執行，例如檢測鼠標移動，過濾客戶端的MAC地址以及根據檢測到的防病毒產品調整其執行流程。”

雇傭軍不斷改進無文件Windows植入程序，它允許操作員執行shell命令。后門使用多種技巧來逃避檢測，并利用HTTPS(DoH)上的DNS與其C2服務器通信，使用Cloudflare響應器。

PowerPepper主要用于美國，歐洲和亞洲的法律和咨詢公司。

C＆C通信是經過加密的，專家注意到，植入物使用與Powersing后門相同的AES加密實現方式，但AES填充模式和函數輸入格式存在唯一差異。

PowerPepper定期輪詢C2服務器以查找要執行的新命令，該機制是通過將TXT類型的DNS請求定期發送到與其C＆C域名相關聯的名稱服務器（NS）來實現的，NS-NS隨后又發送命令。一旦執行了命令，惡意代碼將惡意軟件發送回命令執行結果。

“在DNS C2通信邏輯之上，PowerPepper還通過HTTPS向Python后端發出成功的植入啟動和執行流錯誤的信號。這種信號能夠實現目標驗證和植入執行記錄，同時防止研究人員與PowerPepper惡意C2名稱服務器進行進一步的交互。” Kaspersky報告。

卡巴斯基發現，Python后端被托管在合法的公共托管服務PythonAnywhere上，安全公司與服務提供商合作將其刪除。

PowerPepper攻擊鏈是通過魚叉式網絡釣魚郵件分發的帶武器的Word文檔傳遞的。

惡意項目要么作為魚叉式網絡釣魚電子郵件主體嵌入，要么從魚叉式網絡釣魚電子郵件的惡意鏈接中下載。專家指出，感染鏈在2020年7月至2020年11月之間略有變化。

在某些攻擊中，威脅行動者使用Windows快捷方式文件來植入植入物。

卡巴斯基（Kaspersky）發布的報告中提供了有關DeathStalker使用的新后門的其他技術細節，包括危害指標。

“DeathStalker威脅絕對令人擔憂，其各種惡意軟件菌株的受害者學表明，只要有人確定他們感興趣并向他人傳遞了惡意信息，世界上任何公司或個人都可能受到其惡意活動的攻擊。威脅的演員，”卡巴斯基總結。