Иранские хакеры Charming Kitten используют новый PowerShell-бэкдор в целях кибершпионажа

Иранская киберпреступная группировка Charming Kitten (также известная как Phosphorous, APT35 или TA453) обновила свой арсенал вредоносных инструментов, включив в него новый имплантат на основе PowerShell под названием PowerLess.

«PowerShell-код работает в контексте приложения .NET, поэтому не запускает powershell.ex и способен обойти защитные решения. Проанализированный набор инструментов включает модульное, многоступенчатое вредоносное ПО, которое расшифровывает и развертывает дополнительные полезные нагрузки в несколько этапов для обеспечения скрытности и эффективности», — сообщил старший исследователь вредоносных программ в Cybereason Дэниел Франк (Daniel Frank).

Новый бэкдор PowerLess способен загружать и выполнять дополнительные модули, такие как инфостилеры и кейлоггеры. Кроме того, с тем же разработчиком бэкдора потенциально могут быть связаны ряд других артефактов вредоносного ПО, включая аудиозаписывающий модуль, более ранний вариант инфостилера и то, что исследователи считают незавершенным вариантом программы-вымогателя на языке .NET.

Эксперты также выявили связь между инфраструктурой Charming Kitten и новой разновидностью программы-вымогателя под названием Mement. Операторы вымогателя придумали интересную тактику — полностью отказаться от шифрования и переместить файлы в архивы, защищенные паролем. Теперь группировка перемещает файлы в WinRAR-архивы, устанавливает неверный пароль для защиты доступа, шифрует этот ключ и удаляет исходные файлы.

«Активность Charming Kitten в отношении ProxyShell происходила примерно в то же время, что и Memento. В этот период иранские злоумышленники использовали программамы-вымогатели, что подтверждает гипотезу о связи с Memento», — отметил Франк.