Os pesquisadores descobriram uma nova campanha de malvertising PowerPepper do grupo de atores de ameaças DeathStalker que está ativo desde 2012 e ataca ativamente várias organizações ao redor do mundo com motivação financeira.
O grupo DeathStalker não se enquadra no grupo tradicional de crimes cibernéticos. Os pesquisadores acreditam que o grupo está operando como um serviço de hack-for-hire.
Os invasores aproveitaram as técnicas de antidetecção e evasão de antivírus para evitar a detecção e usaram um método chamado “dead-drop resolvers” (DDRs), que ajuda os invasores a hospedar seu conteúdo ofuscado hospedado nos principais serviços públicos da Web, como YouTube, TwitterReddit para atingir as vítimas.
PowerPepper considera um implante até então desconhecido que aproveitou DNS sobre HTTPS como um canal C2 e foi amplamente detectado atacando várias organizações em junho de 2020.
Ataque usando uma campanha de spear phishing para atingir as vítimas e usando um documento do Word para descartar a carga, e o malware tem operado e se desenvolvido continuamente.
Processo de operação e infecção do PowerPepper
Os invasores operam habilmente o malware PowerPepper, e é um Windows backdoor do PowerShell na memória que pode ser executado remotamente.
Além disso, está aproveitando várias técnicas, como detecção de movimentos do mouse, filtragem de endereços MAC do cliente e adaptação de seu fluxo de execução para evitar a detecção de AV e a execução de sandbox.
O servidor de comando e controle utilizado para esta campanha é baseado nas comunicações via DNS sobre HTTPS (DoH). Para estabelecer uma solicitação DoH para um servidor C2, o PowerPepper inicialmente tenta aproveitar o Excel da Microsoft como um cliente Web e depois volta para o cliente Web padrão do PowerShell.
Os invasores contam com a criptografia AES para garantir que o conteúdo das comunicações C2 entre o implante e os servidores seja criptografado.
Cadeias de entrega PowerPepper
DeathStalker usa dois tipos diferentes de cadeia de entrega: cadeia de entrega baseada em macro e cadeia de entrega baseada em LNK.
A cadeia de entrega baseada em macro foi descoberta em julho de 2020 por meio de um documento malicioso do Word, mas os pesquisadores não conseguiram identificar como esse documento malicioso foi distribuído e acreditaram que o item está incorporado como um corpo de e-mail de spear-phishing ou baixado de um link malicioso em um e-mail de spear-phishing, como dito anteriormente.
De acordo com Kaspersky relatórioa cadeia de entrega baseada em LNK é um Windows baseado em arquivo de atalho e é muito semelhante ao baseado em macro, mas há duas mudanças principais.
- a lógica de macros maliciosas é movida para scripts maliciosos do PowerShell, e o primeiro é incorporado diretamente no arquivo de atalho, portanto, não há mais macros VBA;
- o documento Word dessa cadeia é apenas um pacote de armazenamento de arquivos maliciosos e isca e é baixado de um local remoto (um serviço público de compartilhamento de arquivos) em vez de diretamente incorporado em algum lugar.
Há 6 Os seguintes truques são usados por este PowerPepper para realizar ataques bem-sucedidos que você pode ler detalhados aqui.
- ocultar coisas nas propriedades de forma incorporadas do Word (e tornar os comentários de macro divertidos novamente)
- usar Windows Arquivos de Ajuda HTML compilados (CHM) como arquivos para arquivos maliciosos
- mascarar e ofuscar arquivos persistentes
- esconda seu implante entre duas samambaias…
- se perder em Windows tradução de comando shell
- comece tudo com uma execução de proxy binário assinada
De acordo com o relatório de rastreamento, os invasores têm como alvo vários países ao redor do mundo, mas os pesquisadores não conseguiram identificar com precisão os alvos do PowerPepper, mas escritórios de advocacia e consultoria têm sido alvos frequentes do ator.
Medidas de Prevenção
- Os hosts de conteúdo podem verificar regularmente os arquivos hospedados em busca de conteúdo malicioso, sempre que os regulamentos permitirem.
- Proprietários e editores de sites precisam atualizar frequentemente e de forma responsiva seus back-ends de CMS, bem como plug-ins associados.
- Garanta a proteção no acesso remoto e privilegiado, com filtragem de endereços de rede do cliente, MFA e registro de acesso em todos os endpoints de back-end.
- É altamente recomendável que os usuários da rede corporativa restrinjam o link do mecanismo de script do PowerShell e configurem o software de proteção de endpoint nos computadores dos usuários finais e nos servidores de conteúdo.
- Treine os funcionários e garanta que eles nunca abram Windows atalhos que foram baixados de um local remoto ou anexados a um e-mail, abrir anexos ou clicar em links em e-mails de remetentes desconhecidos ou ativar macros em documentos de fontes não verificadas.