CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

03/12/2018

Descubierta nueva puerta trasera (Backdoor) basado en PowerShell

Botnet Se ha detectado en Turquía un nuevo Backdoor basado en PowerShell, sorprendentemente similar a las herramientas usadas por el grupo MuddyWater.

MuddyWater es un grupo conocido por sus ataques dirigidos contra las naciones de Oriente medio y Asia Central. Sin embargo, también se han observado ataques contra naciones vecinas y otras como India y EE. UU. Sus objetivos son una amplia gama de entidades en distintos sectores como Gobiernos, Academias militares, Cripto-Moneda, Telecomunicaciones y Petróleo.

Principalmente los ataques se realizan mediante el uso de correos electrónicos de phishing con archivos adjuntos maliciosos. Los documentos maliciosos se ajustan de acuerdo con las regiones de destino, a menudo utilizando los logotipos de las sucursales del gobierno local, engañando a los usuarios para omitir los controles de seguridad y habilitar las macros.

Cuando se habilitan las macros se añade un archivo .dll (con un código de PowerShell incorporado) y un archivo .reg en el directorio % temp%. Una vez ejecutado la amenaza recopila información del sistema, como el nombre del sistema operativo, el nombre de dominio, el nombre de usuario, la dirección IP y más. Cuando obtiene la información y se envía al servidor de C&C empieza a comunicarse usando archivos con el nombre equivalente al md5 del número de serie del disco duro de la victima más diversas extensiones según el propósito. Por ejemplo: <md5(hard disk serial number)>.cmd (archivo de texto con un comando para ejecutar) y <md5(hard disk serial number)>.prc (salida del archivo .cmd ejecutado, almacenado en la máquina local)

Los comandos admitidos en la puerta trasera incluyen carga de archivos, eliminación de persistencia, salida, descarga de archivos y ejecución de comandos.

Más información de la noticia aquí.

Fuente: Securityweek

CSIRT-CV