Исследователи безопасности из SafeBreach Labs обнаружили новый бэкдор PowerShell, который смог обойти десятки сканеров вредоносных программ, используемых VirusTotal. Скрытность инструмента принесла ему дескриптор "полностью необнаруживаемый". Исследователи считают, что он был использован для обнаружения около 100 жертв.

Вирус распространяется через вредоносный документ Word, как и многие другие фишинговые атаки. Файл называется "Apply Form.docm" и впервые был загружен на VirusTotal 25 августа 2022 года. Буква M в расширении DOCM указывает на то, что документ Word содержит код макроса. Как правило, пользователи никогда не должны открывать документ с макросами, не проверив, от кого этот документ, что они им доверяют и что это абсолютно необходимо - у большинства пользователей никогда не будет причин для этого. Учитывая, насколько хорошо известен этот вектор атаки, особенно беспокоит то, что ни один из сканеров антивирусных программ не обнаружил его.

Документ представляет собой форму заявления о приеме на работу и связан с "приманкой для фишинга на основе LinkedIn". Другими словами, он используется для атаки на людей, которые могут иметь доступ к очень конфиденциальным данным.

Сложность с его обнаружением в значительной степени связана с запутыванием кода. Исследователи объясняют, как документ инструктирует тех, кто открывает файл: разрешить редактирование, а затем включить контент. Кнопка включения содержимого позволяет запускать встроенный макрос, который помещает файл с именем updater.vbs в фальшивую папку, расположенную в "%appdata%\local\Microsoft\Windows\Update\", а также назначает задачу для запуска этого скрипта.

Перед запуском запланированной задачи макрос создает два сценария PowerShell из текста, скрытого в документе Word. Script.ps1 собирает команды с сервера C2, который присваивает уникальный идентификатор жертвы. Temp.ps1 декодирует команду и выполняет ее, используя один из трех процессов.

Исследователи обнаружили слабость в том, как присваивались идентификаторы жертв. Идентификаторы просто увеличиваются последовательно, поэтому исследователи отмечают, что их начальный идентификационный номер 70, вероятно, указывает на то, что ранее было 69 жертв. Это наблюдение позволило исследователям маскироваться под этих предыдущих жертв для сервера C2, а затем извлекать все адаптированные команды, которые он возвращал.

Лаборатория SafeBreach обнаружила, что две трети команд пытались извлечь списки запущенных процессов с компьютера цели. Еще 7% использовали команду whoami для возврата локальных пользователей вместе со списком процессов. Небольшое количество других команд пытались получить список файлов из общих папок, удалить файлы из общих папок или даже проанализировать всех пользователей Active Directory и клиентов удаленного рабочего стола. Остальные 23% команд должны были просто бездействовать.

Извлечение команд и общее запутывание делает атаку очень сложной для прямого обнаружения. Чтобы помочь поставщикам средств безопасности и другим организациям, SafeBreach опубликовал следующие индикаторы компрометации (IOC), которые служат сигнатурами для помощи в обнаружении:

• C2 server – hxxp://45.89.125.189/put, hxxp://45.89.125.189/get — The C2 server is not active since September 5 2022
• Apply Form.docm — 45f293b1b5a4aaec48ac943696302bac9c893867f1fc282e85ed8341dd2f0f50
• Updater.vbs — 54ed729f7c495c7baa7c9e4e63f8cf496a8d8c89fc10da87f2b83d5151520514
• Script.ps1 — bda4484bb6325dfccaa464c2007a8f20130f0cf359a7f79e14feeab3faa62332
• Temp.ps1 — 16007ea6ae7ce797451baec2132e30564a29ee0bf8a8f05828ad2289b3690f55