SafeBreach Labs недавно обнаружила новый полностью необнаруживаемый (FUD) бэкдор PowerShell, который использует новый подход, маскируясь под часть процесса обновления Windows. Этот секретный саморазрабатываемый инструмент и связанные с ним C2-команды, по-видимому, являются работой сложного, неизвестного субъекта угроз, который нацелился примерно на 100 жертв.
В этом исследовательском отчете мы предоставим высокоуровневый обзор этого FUD PowerShell бэкдора, включая то, когда он впервые появился и что он делает. Мы также расскажем об ошибках в безопасности операций, допущенных субъектом угрозы, ответственным за этот инструмент, которые мы смогли логически использовать для получения доступа и расшифровки зашифрованных команд C2 для каждой жертвы. Одна из команд представляет собой выполнение полного кода PowerShell для перечисления пользователей Active Directory и перечисления удаленных рабочих столов, который, вероятно, будет использован позже на этапе латерального перемещения. Наконец, мы расскажем подробности о том, как SafeBreach делится этой информацией с сообществом безопасности.
Indicators of Compromise
URLs
- http://45.89.125.189/put
- http://45.89.125.189/get
SHA256
- 16007ea6ae7ce797451baec2132e30564a29ee0bf8a8f05828ad2289b3690f55
- 45f293b1b5a4aaec48ac943696302bac9c893867f1fc282e85ed8341dd2f0f50
- 54ed729f7c495c7baa7c9e4e63f8cf496a8d8c89fc10da87f2b83d5151520514
- bda4484bb6325dfccaa464c2007a8f20130f0cf359a7f79e14feeab3faa62332