Észrevétlen back door
A SafeBreach Labs kutatói azonosítottak egy új, teljesen észlelhetetlen (Fully Undetectable – FUD) powershell back door-t, amely magát a Windows frissítési folyamatnak álcázza. Az eddig nem ismert, egyedi fejlesztésű eszköz és a hozzá tartozó C2-parancsok egy kifinomult, ismeretlen fenyegetés szereplőjének munkája, aki(k) már közel 100 alkalommal már használta ezt az kódot.
A támadás egy rosszindulatú Word-dokumentummal kezdődik, amely tartalmaz egy makrót, amely egy ismeretlen PowerShell-szkriptet indít el. A Word-dokumentum neve: Apply Form.docm és 2022. augusztus 25-én töltötték fel Jordániából. A fájl metaadataiból kiderül, hogy egy LinkedIn-alapú álláspályázati csalihoz kapcsolódott. A benne található powershell-szkripteket a VirusTotal nem azonosítja kártékony kódként, így sok esetben megtéveszti a biztonsági rendszereket, szakembereket.
A SafeBreach közzétette az azonosításhoz szükséges mutatókat (IoC) és a TTP-ket.