黑客雇佣组织开发出新型 PowerShell 后门

名为DeathStalker的网络雇佣兵组织在最近的攻击中一直在使用新的powershell后门。

DeathStalker是由卡巴斯基（Kaspersky）发现的黑客攻击组织，自2012年以来一直瞄准全球组织，主要是律师事务所和金融实体。受害组织是位于阿根廷，中国，塞浦路斯，印度，以色列的中小型企业，黎巴嫩，瑞士，俄罗斯，台湾，土耳其，英国和阿拉伯联合酋长国。

卡巴斯基专家确定了一个自7月中以来一直在攻击中使用的被称为PowerPepper的后门 。

“PowerPepper是Windows内存PowerShell后门，可以执行远程发送的Shell命令。” 读取卡巴斯基发表的分析。“严格按照DeathStalker的传统，植入程序将尝试通过各种技巧来逃避检测或沙盒执行，例如检测鼠标移动，过滤客户端的MAC地址以及根据检测到的防病毒产品调整其执行流程。”

雇佣军不断改进无文件Windows植入程序，它允许操作员执行shell命令。后门使用多种技巧来逃避检测，并利用HTTPS(DoH)上的DNS与其C2服务器通信，使用Cloudflare响应器。

PowerPepper主要用于美国，欧洲和亚洲的法律和咨询公司。

C＆C通信是经过加密的，专家注意到，植入物使用与Powersing后门相同的AES加密实现方式，但AES填充模式和函数输入格式存在唯一差异。

PowerPepper定期轮询C2服务器以查找要执行的新命令，该机制是通过将TXT类型的DNS请求定期发送到与其C＆C域名相关联的名称服务器（NS）来实现的，NS-NS随后又发送命令。一旦执行了命令，恶意代码将恶意软件发送回命令执行结果。

“在DNS C2通信逻辑之上，PowerPepper还通过HTTPS向Python后端发出成功的植入启动和执行流错误的信号。这种信号能够实现目标验证和植入执行记录，同时防止研究人员与PowerPepper恶意C2名称服务器进行进一步的交互。” Kaspersky报告。

卡巴斯基发现，Python后端被托管在合法的公共托管服务PythonAnywhere上，安全公司与服务提供商合作将其删除。

PowerPepper攻击链是通过鱼叉式网络钓鱼邮件分发的带武器的Word文档传递的。

恶意项目要么作为鱼叉式网络钓鱼电子邮件主体嵌入，要么从鱼叉式网络钓鱼电子邮件的恶意链接中下载。专家指出，感染链在2020年7月至2020年11月之间略有变化。

在某些攻击中，威胁行动者使用Windows快捷方式文件来植入植入物。

卡巴斯基（Kaspersky）发布的报告中提供了有关DeathStalker使用的新后门的其他技术细节，包括危害指标。

“DeathStalker威胁绝对令人担忧，其各种恶意软件菌株的受害者学表明，只要有人确定他们感兴趣并向他人传递了恶意信息，世界上任何公司或个人都可能受到其恶意活动的攻击。威胁的演员，”卡巴斯基总结。