【安全资讯】PowerLess：Phosphorus组织使用的新后门

引言

Phosphorus又名 Charming Kitten或APT35，是来自伊朗的APT组织。近日，研究人员披露了由 Phosphorus 组织开发的新工具集，其中包括一个名为PowerLess Backdoor的新型 PowerShell 后门。

简况

Phosphorus组织是伊朗的APT组织，曾在2020 年末攻击美国和以色列的医学研究组织和学术研究机构，此前还针对人权活动人士、媒体部门展开攻击，并干预美国总统选举。

此次观察到的PowerLess新型后门具有加密的命令和控制通信通道，允许在受感染的系统上执行命令并终止正在运行的进程。通过在 .NET 应用程序的上下文中运行来逃避检测。除了新的PowerShell 后门外，新工具集还包括恶意软件加载程序、浏览器信息窃取程序和键盘记录工具。近期该组织频繁在攻击中使用开源工具，例如 DiskCryptor、BitLocker、Fast Reverse Proxy等。

研究人员通过APT35 组织使用的攻击基础设施发现了名为 WindowsProcesses.exe的文件。该文件是一个 64 位的 Loader，用于解析 %windir%\Temp\dll.dll路径的 DLL 文件。WindowsProcesses及相关模块执行图如下：

解析了相关的 DLL和 API 调用后，会执行 dll.dll。dll.dll是一个 .NET AES 解密器，使用硬编码密钥 ()*&3dCfabE2/123解码另一个名为“upc”的文件，最终从解密的对象中执行 PowerShell 代码。

PowerLess后门具备以下主要功能：

• 下载和执行其他恶意软件和文件
• 使用 C&C 加密通道
• 执行任意命令
• 终止进程
• 窃取浏览器数据
• 键盘记录

PowerLess后门是在 .NET 的上下文中运行的，不会产生 powershell.exe。

此外，美国国家应急响应中心（USCERT）披露的另一个 IP 为 91[.]214[.]124[.]143，该 IP 地址与 Memento 勒索软件存在关联。这表明Memento可能由Phosphorus组织运作。

总结

Phosphorus组织在攻击中使用了新的PowerShell 后门，且该组织可能与 Memento 勒索软件之间存在联系。