Kelompok ancaman Iran telah memperbarui perangkat malwarenya untuk memasukkan implan berbasis PowerShell baru yang disebut PowerLess Backdoor.
Perusahaan keamanan siber di Boston mengaitkan malware tersebut dengan kelompok peretasan yang dikenal sebagai Charming Kitten (alias Fosfor, APT35, atau TA453), sementara juga menyerukan eksekusi PowerShell yang mengelak dari pintu belakang.
“Kode PowerShell berjalan dalam konteks aplikasi .NET, sehingga tidak meluncurkan ‘powershell.exe’ yang memungkinkannya untuk menghindari produk keamanan,” Daniel Frank, peneliti malware senior di Cybereason, mengatakan. “Toolset yang dianalisis mencakup malware multi-tahap yang sangat modular yang mendekripsi dan menyebarkan muatan tambahan dalam beberapa tahap demi siluman dan kemanjuran.”
Awal bulan ini, Check Point Research mengungkapkan rincian operasi spionase yang melibatkan kelompok peretas yang mengeksploitasi kerentanan Log4Shell untuk menyebarkan pintu belakang modular yang dijuluki CharmPower untuk serangan lanjutan.
Penyempurnaan terbaru pada arsenalnya, merupakan perangkat yang sepenuhnya baru yang mencakup PowerLess Backdoor, yang mampu mengunduh dan menjalankan modul tambahan seperti browser info-stealer dan keylogger.
Juga berpotensi terkait dengan pengembang pintu belakang yang sama adalah sejumlah artefak malware lainnya, termasuk perekam audio, varian pencuri informasi sebelumnya, dan apa yang para peneliti duga sebagai varian ransomware yang belum selesai dikodekan dalam .NET.
Selain itu, infrastruktur tumpang tindih telah diidentifikasi antara kelompok Fosfor dan jenis ransomware baru yang disebut Memento, yang pertama kali muncul pada November 2021 dan mengambil langkah yang tidak biasa dengan mengunci file dalam arsip yang dilindungi kata sandi, diikuti dengan mengenkripsi kata sandi dan menghapus file asli, setelah upaya mereka untuk mengenkripsi file secara langsung diblokir oleh perlindungan titik akhir.
Sumber : The Hacker News
