محققان امنیتی کسپرسکی گروه جدیدی از بدافزار را کشف کرده اند که توسط گروه هکر DeathStalker ساخته شده است که برای جلوگیری از شناسایی رایانه های ویندوز ایجاد شده است.
در حالی که بازیگر تهدید حداقل از سال 2012 فعال بوده است ، DeathStalker برای اولین بار در سال 2018 توجه کسپرسکی را به دلیل ویژگی های متمایز حمله جلب کرد ، برخلاف آنچه توسط مجرمان سایبری یا هکرهای دولتی استفاده می شود.
این گروه به دلیل استفاده از طیف گسترده ای از بدافزارها و زنجیره های تأمین پیچیده در حملات خود مشهور است ، اما تاکتیک هایی که برای جلوگیری از شناسایی استفاده می شود ، واقعاً آن را متمایز می کند.
کسپرسکی در حالی که تحقیق درباره حملات دیگر را با استفاده از PowerShell بر اساس گروه ایمپلنت Powersing انجام داده بود ، از کاشت PowerPepper جدید DeathStalker رونمایی کرد. از زمان تأسیس آن ، نسخه های جدید PowerPepper توسط این گروه توسعه و پیاده سازی شده است ، که همچنین زنجیره تأمین بدافزار را برای دستیابی به اهداف جدید سازگار کرده است.
بدافزار PowerPepper
بدافزار جدید PowerPepper در پس زمینه مبتنی بر حافظه Windows PowerShell تعبیه شده است ، این قابلیت را دارد که به اپراتورهای خود اجازه دهد از راه دور از یک سرور کنترل و کنترل (C2) دستورات پوسته را اجرا کنند.
همانند کارهای قبلی DealthStalker ، PowerPepper سعی دارد با استفاده از ترفندهای مختلف مانند تشخیص حرکات ماوس ، فیلتر کردن آدرس های MAC مشتری و تطبیق جریان اعدام ، از شناسایی یا اجرای جعبه های ماسه در ویندوز 10 جلوگیری کند. کدام محصولات ضد ویروس بر روی سیستم هدف نصب می شوند. بدافزار از طریق پیوست ها با یک کپی از یک ایمیل فیشینگ یا از طریق پیوند به اسنادی که حاوی ماکروهای مخرب Visual Basic for Application (VBA) هستند که PowerPepper را اجرا می کنند و بر روی سیستم های آلوده سازگار هستند ، توزیع می شود.
PowerPepper همچنین از چندین ترفند برای جلوگیری از زنجیره تأمین استفاده می کند ، مانند مخفی کردن بار در ویژگی های اشکال تعبیه شده در Word ، استفاده از پرونده های HTML (CHM) تدوین شده توسط ویندوز مانند بایگانی بدافزار ، پوشاندن و محو کردن پرونده های دائمی و مخفی کردن بارهای بارگذاری شده در تصاویر با استفاده از steganography ، از دست دادن ترجمه و اجرای دستورات دستور Windows از طریق اجرای امضا شده باینری پروکسی.
پیر دلچر از کسپرسکی در گزارش جدیدی اطلاعات بیشتری در مورد نحوه برقراری ارتباط PowerPepper با سرور C2 خود ارائه داد و گفت:
“منطق C2 ایمپلنت برجسته است زیرا براساس DNS از طریق ارتباطات HTTPS (DoH) با استفاده از پاسخ های CloudFlare ساخته شده است. PowerPepper ابتدا سعی می کند از Microsoft Excel به عنوان یک سرویس گیرنده وب برای ارسال درخواست DoH به یک سرور C2 استفاده کند ، اما در صورت عدم عبور پیام ها به وب سرویس گیرنده استاندارد PowerShell و در نهایت به ارتباطات DNS منظم باز می گردد. “
برای جلوگیری از قربانی شدن در PowerPepper ، کاربران باید از باز کردن پیوست ها یا کلیک کردن روی پیوندهای موجود در ایمیل از طرف فرستنده های ناشناخته و همچنین فعال سازی ماکرو در اسناد از منابع تأیید نشده جلوگیری کنند.
از طریق BleepingComputer
منبع: subtitle-news.ir