PowerShell Windows SafeBreach бэкдор
За разработкой бэкдора стоит неизвестная, но крайне подготовленная группировка.
Ранее нигде не упоминавшийся
Бэкдор — это тип вредоносного ПО , которое сводит на нет обычные процедуры аутентификации для доступа к системе. В результате предоставляется удаленный доступ к ресурсам внутри приложения, таким как базы данных и файловые серверы, что дает злоумышленникам возможность удаленно выполнять системные команды и обновлять вредоносное ПО."
data-html="true" data-original-title="Бэкдор"
>бэкдоробнаружили
эксперты из компании SafeBreach. Вредонос крайне скрытный, так как маскируется под процесс обновления Windows.
По словам Томера Бара, руководителя команды исследователей в SafeBreach, за незаметным вредоносом и его C&C-инфраструктурой стоит крайне хорошо подготовленная группировка, которая уже атаковала около 100 жертв.
Цепочка атак неизвестной группировки начинается с Word-документа ( VirusTotal ), который 25 августа 2022 года был выгружен в сеть из Иордании. Метаданные документа говорят о том, что хакеры нацелены в первую очередь на пользователей LinkedIn.
Если жертва откроет документ, то с помощью вшитого в файл макрокода на ее компьютере выполнится
Windows PowerShell — оболочка командной строки на основе задач и языков сценариев. Она специально разработана для администрирования систем. Встроенная в .NET Framework, оболочка Windows PowerShell помогает ИТ-специалистам и опытным пользователям контролировать и автоматизировать процесс администрирования операционной системы Windows и приложений, работающих в системе Windows.
"
data-html="true" data-original-title="PowerShell"
>PowerShell-скрипт ( Script1.ps1 )
PowerShell-скрипт нужен для подключения к C&C-серверу и получения команд, которые будут запущены вторым скриптом ( temp.ps1 ).
Однако хакеры допустили ошибку в своем скрипте, с помощью чего исследователи смогли реконструировать команды, отправляемые сервером. Среди них были команды для запуска whoami, перечисления файлов в определенных папках, извлечения списка запущенных процессов и удаления файлов из общих папок пользователей.
SECURITYLAB.RU
.png)
