PowerLess Backdoor

ほぼこもセキュリティニュース By Terilogy Worx

Phosphorusとして追跡されているハッキンググループがあります。
彼らが現在使用しているツールが観測されています。
PowerLess Backdoorです。
これはトロイの木馬です。
こんな感じで動きます。

  • WindowsProcesses.exeというファイルが取り込まれる
  • dll.dllというファイルを読み込む
  • dll.dllがupcというファイルを復号化する
    dll.dllは.NET AES復号化ツールとなっています。
  • 復号化されたupcがC2接続の準備を実施する
  • upcがPowerShellで書かれたバックドアを復号化する
  • バックドアが起動される
    バックドアは.NETコンテキスト内で起動されます。
    .NETコンテキスト内で起動されたPowerShell Scriptは、プロセス的にみるとpowershell.exeの起動を伴いません。
    つまりプロセス一覧にpowershell.exeはありません。
    このため、powershell.exeを使用するプロセスを監視する形式で検知を試みるセキュリティの仕組みはこの問題を検出できない可能性があります。

このバックドアがPowerLess Backdoorです。
powershell.exeを使用しないためこのような命名がされたのでしょうか。

PowerLess Backdoorは多機能です。
こんな機能があります。

  • 追加マルウェアのダウンロード機能と実行機能
    Browsers info stealerやKeylogger moduleを持ってきます。
  • C2との暗号化通信機能
  • 任意コマンド実行機能
  • プロセス停止機能

どれもおなじみの機能です。
攻撃プロセスが始まってしまうと防御することは難しそうです。
攻撃プロセスを開始される可能性を低く保つことが期待できるように日々運用することで対応していくことになりそうです。

参考記事(外部リンク):PowerLess Trojan: Iranian APT Phosphorus Adds New PowerShell
Backdoor for Espionage

www.cybereason.com/blog/powerless-trojan-iranian-apt-phosphorus-adds-new-powershell-backdoor-for-espionage

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。