【安全资讯】PowerLess:Phosphorus组织使用的新后门

猎影实验室 2022-02-11 06:30:57 791人浏览

引言

Phosphorus又名 Charming Kitten或APT35,是来自伊朗的APT组织。近日,研究人员披露了由 Phosphorus 组织开发的新工具集,其中包括一个名为PowerLess Backdoor的新型 PowerShell 后门。

 

 

简况

Phosphorus组织是伊朗的APT组织,曾在2020 年末攻击美国和以色列的医学研究组织和学术研究机构,此前还针对人权活动人士、媒体部门展开攻击,并干预美国总统选举。

 

 

此次观察到的PowerLess新型后门具有加密的命令和控制通信通道,允许在受感染的系统上执行命令并终止正在运行的进程。通过在 .NET 应用程序的上下文中运行来逃避检测。除了新的PowerShell 后门外,新工具集还包括恶意软件加载程序、浏览器信息窃取程序和键盘记录工具。近期该组织频繁在攻击中使用开源工具,例如 DiskCryptor、BitLocker、Fast Reverse Proxy等。

 

 

研究人员通过APT35 组织使用的攻击基础设施发现了名为 WindowsProcesses.exe的文件。该文件是一个 64 位的 Loader,用于解析 %windir%\Temp\dll.dll路径的 DLL 文件。WindowsProcesses及相关模块执行图如下:

 

解析了相关的 DLL和 API 调用后,会执行 dll.dll。dll.dll是一个 .NET AES 解密器,使用硬编码密钥 ()*&3dCfabE2/123解码另一个名为“upc”的文件,最终从解密的对象中执行 PowerShell 代码。

 

 

PowerLess后门具备以下主要功能:

  • 下载和执行其他恶意软件和文件
  • 使用 C&C 加密通道
  • 执行任意命令
  • 终止进程
  • 窃取浏览器数据
  • 键盘记录

 

 

PowerLess后门是在 .NET 的上下文中运行的,不会产生 powershell.exe。

 

 

此外,美国国家应急响应中心(USCERT)披露的另一个 IP 为 91[.]214[.]124[.]143,该 IP 地址与 Memento 勒索软件存在关联。这表明Memento可能由Phosphorus组织运作。

 

 

总结

Phosphorus组织在攻击中使用了新的PowerShell 后门,且该组织可能与 Memento 勒索软件之间存在联系。

失陷指标(IOC)22
APT Phosphorus 后门 PowerLess 其他
    0条评论
    0
    0
    分享
    安恒威胁分析平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。