Daha önce belgelenmemiş ve tamamen saptanamayan (FUD) bir PowerShell arka kapısı hakkında ayrıntılar ortaya çıktı ve bu, kendisini bir Windows güncelleme sürecinin parçası olarak gizleyerek gizliliğini kazandı.
SafeBreach güvenlik araştırması direktörü Tomer Bar yeni bir raporda, “Gizli kendi geliştirdiği araç ve ilgili C2 komutları, yaklaşık 100 kurbanı hedef alan karmaşık, bilinmeyen bir tehdit aktörünün işi gibi görünüyor.” Dedi.
Adı açıklanmayan bir tehdit aktörüne atfedilen kötü amaçlı yazılımı içeren saldırı zincirleri, şirkete göre 25 Ağustos 2022’de Ürdün’den yüklenen silahlı bir Microsoft Word belgesiyle başlıyor.
Cazibe belgesiyle ilişkili meta veriler, ilk izinsiz giriş vektörünün LinkedIn tabanlı bir mızrakla kimlik avı saldırısı olduğunu gösterir ve bu, sonuçta bir gömülü makro kodu parçası aracılığıyla bir PowerShell betiğinin yürütülmesine yol açar.
PowerShell betiği (Script1.ps1), uzak bir komut ve kontrol (C2) sunucusuna bağlanmak ve ikinci bir PowerShell betiği (temp.ps1) aracılığıyla güvenliği ihlal edilmiş makinede başlatılacak bir komutu almak için tasarlanmıştır.
Ancak, her bir kurbanı (yani, 0, 1, 2, vb.) benzersiz bir şekilde tanımlamak için önemsiz bir artımlı tanımlayıcı kullanarak aktör tarafından yapılan operasyonel bir güvenlik hatası, C2 sunucusu tarafından verilen komutların yeniden yapılandırılmasına izin verdi.
Yayınlanan dikkate değer komutlardan bazıları, çalışan işlemlerin listesinin çıkarılması, belirli klasörlerdeki dosyaların numaralandırılması, whoami’nin başlatılması ve genel kullanıcı klasörleri altındaki dosyaların silinmesidir.
Yazılı olarak, 32 güvenlik sağlayıcısı ve 18 kötü amaçlı yazılımdan koruma motoru, sırasıyla sahte belgeyi ve PowerShell komut dosyalarını kötü amaçlı olarak işaretler.
Bulgular, Microsoft’un Office uygulamalarında varsayılan olarak Excel 4.0 (XLM veya XL4) ve Visual Basic for Applications (VBA) makrolarını engellemek için adımlar atması ve tehdit aktörlerinin alternatif dağıtım yöntemlerine dönmesini istemesiyle ortaya çıktı.