专家警告”隐形Powershell后门”伪装为窗口更新

关于一个以前没有记录和完全无法检测( FUD )的PowerShell后门的细节已经出现，它通过将自己伪装成Windows更新过程的一部分来获得隐形。

 SafeBreach的安全研究主管Tomer Bar在一份新的报告中说：”隐蔽的自主开发的工具和相关的C2命令似乎是一个复杂的、未知的威胁行为者的工作，他们的目标是大约100名受害者。

由于一个未透露姓名的威胁行为者，涉及恶意软件的攻击链从一个武器化的微软Word文档开始，该文档于2022年8月25日从约旦上传。

与诱饵文档关联的元数据表明，初始入侵向量是基于LinkedIn的钓鱼攻击，最终导致PowerShell脚本通过一段嵌入式宏代码执行。

PowerShell脚本( Script1.ps1 )旨在连接到远程命令和控制( C2 )服务器，并通过第二个PowerShell脚本( temp.ps1 )检索要在受损机器上启动的命令。

但是，Actor通过使用一个简单的增量标识符来唯一识别每个受害者(即0 , 1 , 2等.)，从而允许重构C2服务器发出的命令，从而造成操作安全错误。

发出的一些值得注意的命令包括删除正在运行的进程列表、枚举特定文件夹中的文件、启动whoami和删除公共用户文件夹下的文件。

在撰写本文时，32个安全厂商和18个反恶意软件引擎分别将decoy文档和PowerShell脚本标记为恶意。

这些发现是微软采取步骤，在整个Office应用程序中默认情况下阻止Excel 4.0 ( XLM或XL4)和Visual Basic for Applications ( VBA )宏，促使威胁行为者转向替代交付方法。