【安全资讯】PowerLess:Phosphorus组织使用的新后门
引言
Phosphorus又名 Charming Kitten或APT35,是来自伊朗的APT组织。近日,研究人员披露了由 Phosphorus 组织开发的新工具集,其中包括一个名为PowerLess Backdoor的新型 PowerShell 后门。
简况
Phosphorus组织是伊朗的APT组织,曾在2020 年末攻击美国和以色列的医学研究组织和学术研究机构,此前还针对人权活动人士、媒体部门展开攻击,并干预美国总统选举。
此次观察到的PowerLess新型后门具有加密的命令和控制通信通道,允许在受感染的系统上执行命令并终止正在运行的进程。通过在 .NET 应用程序的上下文中运行来逃避检测。除了新的PowerShell 后门外,新工具集还包括恶意软件加载程序、浏览器信息窃取程序和键盘记录工具。近期该组织频繁在攻击中使用开源工具,例如 DiskCryptor、BitLocker、Fast Reverse Proxy等。
研究人员通过APT35 组织使用的攻击基础设施发现了名为 WindowsProcesses.exe的文件。该文件是一个 64 位的 Loader,用于解析 %windir%\Temp\dll.dll路径的 DLL 文件。WindowsProcesses及相关模块执行图如下:
解析了相关的 DLL和 API 调用后,会执行 dll.dll。dll.dll是一个 .NET AES 解密器,使用硬编码密钥 ()*&3dCfabE2/123解码另一个名为“upc”的文件,最终从解密的对象中执行 PowerShell 代码。
PowerLess后门具备以下主要功能:
- 下载和执行其他恶意软件和文件
- 使用 C&C 加密通道
- 执行任意命令
- 终止进程
- 窃取浏览器数据
- 键盘记录
PowerLess后门是在 .NET 的上下文中运行的,不会产生 powershell.exe。
此外,美国国家应急响应中心(USCERT)披露的另一个 IP 为 91[.]214[.]124[.]143,该 IP 地址与 Memento 勒索软件存在关联。这表明Memento可能由Phosphorus组织运作。
总结
Phosphorus组织在攻击中使用了新的PowerShell 后门,且该组织可能与 Memento 勒索软件之间存在联系。