Hackers utilizan nuevo backdoor de PowerShell para atacar

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Un actor de amenazas que se ha dirigido a al menos 69 entidades está utilizando activamente una puerta trasera (backdoor) de PowerShell completamente indetectable y previamente no documentada.

En función de sus características, el malware está diseñado para el ciberespionaje, y se dedica principalmente a la exfiltración de datos del sistema comprometido.

Cuando se detectó por primera vez, ningún proveedor del servicio de análisis VirusTotal consideró que la puerta trasera de PowerShell fuera maliciosa.

Sin embargo, su tapadera se descubrió debido a errores operativos de los piratas informáticos, lo que permitió a los analistas de SafeBreach acceder y descifrar los comandos enviados por los atacantes para ejecutarlos en los dispositivos infectados.

De la solicitud de empleo a la puerta trasera de PowerShell

El ataque comienza con la llegada de un correo electrónico de phishing con un documento malicioso adjunto llamado "Apply Form.docm". Según el contenido del archivo y los metadatos, es probable que tenga el tema de una solicitud de empleo basada en LinkedIn.

El señuelo del documento que contiene la macro
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El documento contiene macros maliciosas que colocan y ejecutan un script 'updater.vbs' que crea una tarea programada para hacerse pasar por una actualización de rutina de Windows.

El script VBS luego ejecuta dos scripts de PowerShell, "Script.ps1" y "Temp.ps1", los cuales se almacenan dentro del documento malicioso en forma ofuscada.

Cuando SafeBreach descubrió por primera vez los scripts, ninguno de los proveedores de antivirus en VirusTotal detectó los scripts de PowerShell como maliciosos.

VirusTotal devuelve escaneos limpios en ambos scripts
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

"Script.ps1" se conecta a los servidores de comando y control del atacante (C2), y envía una identificación de víctima a los operadores y luego espera un comando recibido en forma cifrada AES-256 CBC.

Según el recuento de ID, los analistas de SafeBreach concluyeron que el C2 del actor de amenazas había registrado 69 ID antes que ellos, que es probablemente el número aproximado de computadoras violadas.

El script "Temp.ps1" descodifica el comando en la respuesta, lo ejecuta y luego cifra y carga el resultado a través de una solicitud POST al C2.

SafeBreach aprovechó la predecible identificación de víctimas y creó un script que podía descifrar los comandos enviados a cada una de ellas.

Los analistas descubrieron que dos tercios de los comandos eran para filtrar datos, y los otros se usaban para enumeraciones de usuarios, listados de archivos, eliminación de archivos y cuentas, y enumeraciones de clientes RDP.

Script enviado como comando desde el C2 para consultar el controlador de dominio para usuarios administradores
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Amenazas sigilosas desconocidas

Esta puerta trasera de PowerShell es un ejemplo característico de amenazas sigilosas desconocidas utilizadas en ataques a sistemas gubernamentales, corporativos y de usuarios privados.

Los defensores no solo necesitan estar informados sobre las amenazas conocidas o emergentes, sino también tener en cuenta los vectores desconocidos que pueden ser capaces de eludir las medidas de seguridad y los análisis antivirus.

Si bien algunos motores antivirus pueden detectar heurísticamente comportamientos maliciosos en los scripts de PowerShell, los actores de amenazas evolucionan constantemente su código para evitar estas detecciones.

La mejor manera de lograr esto es aplicando actualizaciones de seguridad lo más rápido posible, limitando el acceso remoto a los puntos finales, siguiendo el principio de privilegios mínimos y monitoreando el tráfico de la red con regularidad.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

joder, pero el vector ahi no es el powershell ¿no? es la macro que termina ejecutando el script. Y a fin de cuentas eso no es una amenaza para nada desconocida. ¿Me pierdo algo? Las backdoor o controles c2 via powershell se usan bastante ¿no? ¿En general si vulneras con un rce un sistema windows no tendéis a utilizar powershell para tener una shell en ese equipo?

 Tiene sentido su observación: Lo que me pareció entender:

El macro ejecuta un script que se cuela como una tarea de rutina:
"El documento contiene macros maliciosas que colocan y ejecutan un script 'updater.vbs' que crea una tarea programada para hacerse pasar por una actualización de rutina de Windows."

Esta es la parte que está nebulosa para mi y es que "dentro del documento" hay otra carga que es la de PowerShell? O sea todo viene en el word con ofuscación, o no?

"El script VBS luego ejecuta dos scripts de PowerShell, "Script.ps1" y "Temp.ps1", los cuales se almacenan dentro del documento malicioso en forma ofuscada."

Tampoco entendí muy bien lo de novedoso...

A ver esque los documentos de office son zips. puedes meter lo que te de la gana, entieddo que puedes meter ahi el contenido de los ps y mediante el script de vb inicias un schtsk metiendo algo con nombre royo "windows update". Para que al hacer el ps no te parezca raro. Y que eso cada X tiempo, o solo una vez, descomprima el docx, para oobtener los .ps1 y los ejecute en local.
El tema es que no estoy viendo bien el tema de la novedad. Creo que en general cualquier ps1 lo puedes ejecutar sin problemas, haciendo curl a otro sitio por ejemplo te puedes montar un backdoor y que no te pille el defender, si no haces cosas demasiado raras. Y siendo scripts mas o menos nuevos o que se hayan cifrado pues el antivirus no los detecte. Recordad que se puede cifrar cosas de forma relativamente sencilla en powershell usando:
New-Object System.Security.Cryptography.AesManaged
Si tenéis acceso al malware si eso pasadlo y le echamos un vistazo.