استفاده هکرهای ایرانی از Backdoor جدید بر مبنای PowerShell


5/5 - (1 امتیاز)

بر اساس تحقیقات جدیدی که توسط Cybereason منتشر شده است، یک گروه هکری مرتبط با ایران، مجموعه ابزار بدافزار خود را به روز کرده است تا شامل implement جدید مبتنی بر PowerShell به نام PowerLess Backdoor باشد که در واقع یک Backdoor جدید بر مبنای PowerShell است

این شرکت امنیت سایبری بدافزار را به یک گروه هکری موسوم به Charming Kitten (بچه گربه جذاب) با نام مستعار Phosphorous، APT35 یا TA453 نسبت داد

دانیل فرانک، محقق ارشد بدافزار در Cybereason، گفت: «در Backdoor جدید بر مبنای PowerShell کد PowerShell در داخل یک برنامه .NET اجرا می‌شود، بنابراین « powershell.exe را اجرا نمی‌ کند که به آن امکان می‌ دهد از آنتی ویروس ها و محصولات امنیتی فرار کند. “مجموعه ابزار مورد تجزیه و تحلیل شامل بدافزاری با ساختاری ماژولار و چند مرحله ای است که به منظور پنهان کاری و کارآمدی، Payload را در چندین مرحله رمزگشایی و اجرا می کند.”

این گروه هکری ، که حداقل از سال 2017 فعال است، در سال‌ های اخیر پشت سر مجموعه‌ ای از کمپین‌ ها بوده است.

Backdoor جدید بر مبنای PowerShell

در اوایل این ماه، Check Point Research جزئیات یک عملیات جاسوسی را فاش کرد که شامل سوء استفاده از آسیب‌ پذیری‌ های Log4Shell برای استقرار یک Backdoor ماژولار به نام CharmPower برای حملات بعدی توسط این گروه هکری بود .

آخرین تغیرات در این بد افزار، همانطور که توسط Cybereason کشف شده است ، شامل مجموعه ابزار کاملاً جدید است . این مجموعه شامل PowerLess Backdoor است که بد افزار را قادر به به دانلود و اجرای ماژول های اضافی مانند سرقت اطلاعات مرورگر و keylogger میکند

همچنین تعدادی ابزار دیگر کشف شده است که به احتمال زیاد مرتبط با توسعه دهنده Backdoor هستند، این فایل ها شامل یک ضبط کننده صدا، استخراج کننده اطلاعات و آنچه که محققان گمان می کنند یک نوع باج افزار ناتمام نوشته شده با تکنولوژی .NET است.

علاوه بر این، ارتباطات زیرساختی بین گروه فسفر و یک نوع باج‌ افزار جدید به نام Memento شناسایی شده است که برای اولین بار در نوامبر 2021 ظاهر شد . این باج افزار در حرکتی غیرمعمول اقدام به رمز کردن فایل های فشرده شده و محافظت شده درون سیستم میکند و بعد از آن اقدام به حذف فایل های اصلی میکند.

فرانک گفت: «فعالیت فسفر در رابطه با ProxyShell تقریباً در همان چارچوب زمانی Memento انجام شد. همچنین گزارش شد که گروه هکری ایرانی نیز در آن دوره به به روش های جدید از جمله توسعه باج افزار روی آورده‌ اند که این فرضیه را تقویت می‌کند که Memento توسط یک گروه هکری ایرانی کنترل می‌شود.»

[su_note]ملاحظه: این سایت تنها خبر منتشر شده در فضای مجازی را صرفاً منتشر نموده و تایید و یا تکذیب آن بر عهده نهادهای مرتبط و نظارتی می باشد. [/su_note]

بدون دیدگاه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.