Een geavanceerde aanhoudende dreigingsgroep met links naar Iran heeft zijn malwaretoolset bijgewerkt met een nieuw op PowerShell gebaseerd implantaat genaamd Powerless achterdeur, blijkt uit nieuw onderzoek gepubliceerd door Cybereason.
Het in Boston gevestigde cyberbeveiligingsbedrijf schreef de malware toe aan een hackgroep die bekend staat als Charming Kitten (ook bekend als Phosphorous, APT35 of TA453), terwijl ook de ontwijkende PowerShell-uitvoering van de achterdeur wordt opgeroepen.
"De PowerShell-code wordt uitgevoerd in de context van een .NET-toepassing, waardoor 'powershell.exe' niet wordt gestart, waardoor het beveiligingsproducten kan omzeilen", zegt Daniel Frank, senior malware-onderzoeker bij Cybereason, zei. "De geanalyseerde toolset omvat extreem modulaire, meertraps malware die extra payloads in verschillende fasen ontsleutelt en implementeert voor zowel stealth als efficiëntie."
De dreigingsactor, die in ieder geval sinds 2017 actief is, stond de afgelopen jaren achter een reeks campagnes, waaronder die waarbij de tegenstander zich voordeed als journalisten en geleerden om doelen te misleiden om malware te installeren en geheime informatie te stelen.
Eerder deze maand maakte Check Point Research details bekend van een spionageoperatie waarbij de hackgroep de Log4Shell-kwetsbaarheden om een modulaire achterdeur, CharmPower genaamd, in te zetten voor vervolgaanvallen.
De nieuwste verfijningen aan zijn arsenaal, zoals opgemerkt door Cybereason, vormen een geheel nieuwe toolset die de PowerLess Backdoor omvat, die in staat is om extra modules te downloaden en uit te voeren, zoals een browserinfo-stealer en een keylogger.
Ook mogelijk gekoppeld aan dezelfde ontwikkelaar van de achterdeur zijn een aantal andere malware-artefacten, waaronder een audiorecorder, een eerdere variant van de informatie-stealer en wat de onderzoekers vermoeden dat het een onvoltooide ransomware-variant gecodeerd in .NET.
Bovendien zijn er overlappingen in de infrastructuur vastgesteld tussen de Phosphorus-groep en een nieuwe ransomware-stam genaamd Aandenken, die voor het eerst verscheen in november 2021 en de ongebruikelijke stap nam om bestanden te vergrendelen in met een wachtwoord beveiligde archieven, gevolgd door het coderen van het wachtwoord en het verwijderen van de originele bestanden, nadat hun pogingen om de bestanden rechtstreeks te coderen werden geblokkeerd door eindpuntbeveiliging.
"De activiteit van fosfor met betrekking tot ProxyShell vond plaats in ongeveer hetzelfde tijdsbestek als Memento,” zei Frank. “Er werd ook gemeld dat Iraanse dreigingsactoren in die periode ransomware gebruikten, wat de hypothese versterkt dat Memento wordt beheerd door een Iraanse dreigingsactor.”
