卡巴斯基的研究人员发现了一个以前未记录的Windows PowerShell恶意软件,称为PowerPepper,由黑客聘用组织DeathStalker开发。
DeathStalker(以前称为Deceptikons)是一种威胁组织,其活动至少可以追溯到2012年[1,2],使用广泛的恶意软件和复杂的传递链,以及经常使用各种战术来帮助他们避开检测。
该组织的目标是从金融公司到律师事务所,遍及世界各地的组织和企业,没有特定动机,因此将其归类为网络雇佣兵。
DeathStalker是2020年曝光的四个黑客雇佣组织之一,其中包括BellTrox(也被称为Dark Basin),Bahamut和CostaRicto。
DeathStalker指纹
卡巴斯基(Kaspersky)于2020年5月发现了新的PowerPepper植入物,同时使用该组织基于PowerShell的其他植入物Powersing研究其他攻击。
自发现以来,PowerPepper一直在不断发展,正在部署新版本,并且其交付链已适应新的目标。
这种新的恶意软件是基于内存的Windows PowerShell后门程序,可让其操作员执行通过命令和控制(C2)服务器远程传递的Shell命令。
它的功能包括多种反检测策略,例如“鼠标移动检测,客户端的MAC地址过滤,Excel应用程序处理和防病毒产品清单”。
该恶意软件以网络钓鱼电子邮件的恶意附件或链接的形式传递到目标计算机上,这些附件或链接指向包含执行PowerPepper并在受感染系统上保持持久性的恶意Visual Basic for Application(VBA)宏的文档。
卡巴斯基实验室研究员皮埃尔·德尔彻(Pierre Delcher)解释说: “在2020年7月至2020年11月之间,这种感染链略有不同:一些删除的文件名,集成代码或远程链接发生了变化,但是逻辑保持不变。
它的基于宏和基于LNK的传递链还具有DeathStalker的指纹,并采用了多种混淆,执行和伪装技巧来逃避检测。
PowerPepper的传送链规避技巧包括:
- 在Word嵌入的形状属性中隐藏有效载荷
- 使用Windows编译的HTML帮助(CHM)文件作为恶意文件的存档
- 伪装和混淆持久性文件
- 使用隐写术在图像中隐藏有效载荷
- Windows Shell命令翻译中迷路
- 通过签名的二进制代理执行来执行
DNS通过HTTPS进行C2通讯
它的功能列表中最引人注目的是它使用Cloudflare响应器通过HTTPS(DoH)通道上的DNS与C2服务器通信的方式。
Delcher说:“ PowerPepper首先尝试利用Microsoft Excel作为Web客户端,将DoH请求发送到C2服务器,但是如果消息无法通过,将退回到PowerShell的标准Web客户端,并最终回到常规DNS通信。”
恶意软件会定期使用TXT类型的DNS请求通过DoH(或在DoH失败时使用常规DNS)向C2服务器轮询命令,以向C2的名称服务器发送命令。
在PowerPepper成功在受感染的目标上启动后,C2服务器发送加密的命令,该命令将嵌入在DNS响应中的DNS响应中,以通过HTTPS验证目标。
Delcher总结说:“可以说,DeathStalker努力开发这种PowerPepper植入物和相关的输送链,来逃避,创新和复杂的工具似乎很公平。”
“没有什么东西可以利用任何技巧和技巧,但是证明自己是有效的整个工具集可以很好地组合在一起,并显示出坚定的努力来折衷全世界的各种目标。”
*编译:Domino
*来自:bleepingcomputer