Thông tin chi tiết đã xuất hiện về một cửa hậu PowerShell trước đây không có giấy tờ và hoàn toàn không thể phát hiện được (FUD) có được khả năng tàng hình bằng cách ngụy trang như một phần của quá trình cập nhật Windows.
"Công cụ tự phát triển bí mật và các lệnh C2 liên quan dường như là công việc của một tác nhân đe dọa tinh vi, chưa được biết đến, người đã nhắm mục tiêu vào khoảng 100 nạn nhân," Tomer Bar, giám đốc nghiên cứu bảo mật tại SafeBreach, cho biết trong một báo cáo mới.
Được cho là do một tác nhân đe dọa giấu tên, các chuỗi tấn công liên quan đến phần mềm độc hại bắt đầu bằng một tài liệu Microsoft Word được vũ khí hóa, theo công ty, được tải lên từ Jordan vào ngày 25 tháng 8 năm 2022.
Siêu dữ liệu được liên kết với tài liệu thu hút chỉ ra rằng vectơ xâm nhập ban đầu là một cuộc tấn công lừa đảo qua mạng dựa trên LinkedIn, cuối cùng dẫn đến việc thực thi tập lệnh PowerShell thông qua một đoạn mã macro được nhúng.
Tập lệnh PowerShell (Script1.ps1) được thiết kế để kết nối với máy chủ điều khiển và lệnh từ xa (C2) và truy xuất lệnh được khởi chạy trên máy bị xâm nhập bằng tập lệnh PowerShell thứ hai (temp.ps1).
Nhưng một lỗi bảo mật hoạt động do tác nhân tạo ra bằng cách sử dụng một số nhận dạng gia tăng tầm thường để xác định duy nhất từng nạn nhân (tức là 0, 1, 2, v.v.) được phép xây dựng lại các lệnh do máy chủ C2 đưa ra.
Một số lệnh đáng chú ý được ban hành bao gồm việc thâm nhập danh sách các quy trình đang chạy, liệt kê các tệp trong các thư mục cụ thể, khởi chạy whoami và xóa các tệp trong các thư mục người dùng công cộng.
Khi viết, 32 nhà cung cấp bảo mật và 18 công cụ chống phần mềm độc hại gắn cờ tài liệu mồi nhử và tập lệnh PowerShell là độc hại, tương ứng.
Phát hiện này được đưa ra khi Microsoft đã thực hiện các bước để chặn macro Excel 4.0 (XLM hoặc XL4) và Visual Basic for Applications (VBA) theo mặc định trên các ứng dụng Office, khiến các tác nhân đe dọa chuyển sang các phương pháp phân phối thay thế.