Um grupo avançado de ameaças persistentes com links para o Irã atualizou seu conjunto de ferramentas de malware para incluir um novo implante baseado em PowerShell chamado PowerLess Backdoor, de acordo com uma nova pesquisa publicada pela Cybereason.
A empresa de segurança cibernética com sede em Boston atribuiu o malware a um grupo de hackers conhecido como Charming Kitten (também conhecido como Phosphorous, APT35 ou TA453), ao mesmo tempo em que denunciava a execução evasiva do PowerShell do backdoor.
“O código do PowerShell é executado no contexto de um aplicativo .NET, não iniciando o ‘powershell.exe’, que permite burlar produtos de segurança”, disse Daniel Frank, pesquisador sênior de malware da Cybereason. “O conjunto de ferramentas analisado inclui malware extremamente modular e multi-estágios que descriptografa e implanta cargas adicionais em vários estágios para fins de sigilo e eficácia”.
O agente da ameaça, que está ativo desde pelo menos 2017, esteve por trás de uma série de campanhas nos últimos anos, incluindo aquelas em que o adversário se passava por jornalistas e acadêmicos para enganar alvos para instalar malware e roubar informações classificadas.
No início deste mês, a Check Point Research divulgou detalhes de uma operação de espionagem que envolveu o grupo de hackers explorando as vulnerabilidades do Log4Shell para implantar um backdoor modular chamado CharmPower para ataques subsequentes.
Os últimos refinamentos em seu arsenal, conforme descoberto pela Cybereason, constituem um conjunto de ferramentas totalmente novo que engloba o PowerLess Backdoor, capaz de baixar e executar módulos adicionais, como um ladrão de informações do navegador e um keylogger.
Também potencialmente vinculados ao mesmo desenvolvedor do backdoor estão vários outros artefatos de malware, incluindo um gravador de áudio, uma variante anterior do ladrão de informações e o que os pesquisadores suspeitam ser uma variante inacabada de ransomware codificada em .NET.
Além disso, foram identificadas sobreposições de infraestrutura entre o grupo Phosphorus e uma nova variedade de ransomware chamada Memento, que surgiu pela primeira vez em novembro de 2021 e deu o passo incomum de bloquear arquivos em arquivos protegidos por senha, seguido de criptografar a senha e excluir os arquivos originais. depois que suas tentativas de criptografar os arquivos diretamente foram bloqueadas pela proteção de endpoint.
“A atividade do Phosphorus em relação ao ProxyShell ocorreu aproximadamente no mesmo período do Memento”, disse Frank. “Também foi relatado que os agentes de ameaças iranianos estavam se voltando para o ransomware durante esse período, o que fortalece a hipótese de que o Memento é operado por um agente de ameaças iraniano”.
Fonte: The Hacker News
Descubra mais sobre DCiber
Assine para receber os posts mais recentes por e-mail.
