Контакты
Подписка 2024
DCAP и DLP
13 марта. Защита корпоративных данных: достаточно ли внедрить DCAP и DLP?
Представляйте решения на онлайн-конференции!

Иранские хакеры Charming Kitten используют новый PowerShell-бэкдор в целях кибершпионажа

03/02/22

Irahack4Иранская киберпреступная группировка Charming Kitten (также известная как Phosphorous, APT35 или TA453) обновила свой арсенал вредоносных инструментов, включив в него новый имплантат на основе PowerShell под названием PowerLess.

«PowerShell-код работает в контексте приложения .NET, поэтому не запускает powershell.ex и способен обойти защитные решения. Проанализированный набор инструментов включает модульное, многоступенчатое вредоносное ПО, которое расшифровывает и развертывает дополнительные полезные нагрузки в несколько этапов для обеспечения скрытности и эффективности», — сообщил старший исследователь вредоносных программ в Cybereason Дэниел Франк (Daniel Frank).

Новый бэкдор PowerLess способен загружать и выполнять дополнительные модули, такие как инфостилеры и кейлоггеры. Кроме того, с тем же разработчиком бэкдора потенциально могут быть связаны ряд других артефактов вредоносного ПО, включая аудиозаписывающий модуль, более ранний вариант инфостилера и то, что исследователи считают незавершенным вариантом программы-вымогателя на языке .NET.

Эксперты также выявили связь между инфраструктурой Charming Kitten и новой разновидностью программы-вымогателя под названием Mement. Операторы вымогателя придумали интересную тактику — полностью отказаться от шифрования и переместить файлы в архивы, защищенные паролем. Теперь группировка перемещает файлы в WinRAR-архивы, устанавливает неверный пароль для защиты доступа, шифрует этот ключ и удаляет исходные файлы.

«Активность Charming Kitten в отношении ProxyShell происходила примерно в то же время, что и Memento. В этот период иранские злоумышленники использовали программамы-вымогатели, что подтверждает гипотезу о связи с Memento», — отметил Франк.

Темы:ПреступленияAPT-группыгосударственные хакерыИранКиберугрозы
Российские платформы виртуализации
21 марта. Российские платформы виртуализации: безопасность, производительность, совместимость
Участвуйте и представляйте решения!

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
14 марта. Автоматизация реагирования на инциденты по информационной безопасности
Участвуйте!

Еще темы...

More...