Um grupo de hackers supostamente apoiado pelo governo iraniano, rastreado como APT35 — também conhecido como Phosphorus ou Charming Kitten — agora está implantando uma nova backdoor chamada PowerLess, desenvolvida usando o PowerShell. O grupo também usou o malware, até então desconhecido, para implantar módulos adicionais, incluindo ladrões de informações e keyloggers, de acordo com um relatório publicado pela equipe da Cybereason Nocturnus, empresa especializada em ciberdefesa e segurança empresarial.
O backdoor PowerLess apresenta canais de comunicação de comando e controle criptografados e permite executar comandos e eliminar processos em execução em sistemas comprometidos.
Ele também evita a detecção executando no contexto de um aplicativo .NET, o que permite que ele se oculte das soluções de segurança ao não iniciar uma nova instância do PowerShell.
“O conjunto de ferramentas analisado inclui malware extremamente modular e em vários estágios que descriptografa e implanta cargas adicionais em vários estágios para fins de discrição e eficácia. No momento da redação deste relatório, alguns dos IOCs (indicadores de comprometimento) permaneciam ativos entregando novas cargas úteis”, disseram os pesquisadores da Cybereason.
Em janeiro, os operadores do APT35 também estavam implantando outra backdoor do PowerShell não documentada anteriormente chamada CharmPower em ataques que aproveitam as explorações do Log4Shell.
O link do ransomware Memento
Ao analisar os ataques em que a backdoor PowerLess recém-descoberta foi usada, os pesquisadores também encontraram possíveis conexões com o ransomware Memento. Esse ransomware está ativo desde abril de 2021, sendo implantado em ataques contra servidores VMware vCenter usando exploits projetados para explorar uma falha crítica de execução remota de código pré-autenticação corrigida meses antes, em fevereiro daquele ano.
Veja isso
Malware usa novas técnicas para criar persistência em sistemas
VMware alerta sobre ataques Log4J a servidores Horizon
A Sophos constatou os operadores do Memento mudando de sistemas de criptografia com uma variedade de ransomware baseada em Python para mover arquivos para arquivos WinRAR protegidos por senha devido à proteção anti-ransomware ativa em dispositivos comprometidos. Os links incluem padrões TTP comuns, strings geradas automaticamente e um domínio (google.onedriver-srv[.]ml). Este domínio está vinculado a um endereço IP mencionado em um comunicado conjunto emitido pelas agências de segurança cibernética dos EUA e do Reino Unido em novembro do ano passado sobre grupos de hackers iranianos que visam servidores Microsoft Exchange e Fortinet.
Também em novembro, o Microsoft Threat Intelligence Center (MSTIC) disse que estava rastreando seis diferentes grupos de ameaças iranianas que estão implantando ransomware e exfiltrando dados em ataques que começaram em setembro de 2020.
“A atividade do Phosphorus em relação ao ProxyShell ocorreu aproximadamente no mesmo período de tempo que o Memento”, disse a equipe da Cybereason Nocturnus. “Também foi relatado que os agentes de ameaças iranianos estavam se voltando para o ransomware durante esse período, o que fortalece a hipótese de que o Memento é operado por um agente de ameaças iraniano”, concluíram.