Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
03/12/2018
Descoberta nova porta del darrere (Backdoor) basat en PowerShell
S'ha detectat a Turquia una nova porta del darrere basada en PowerShell, sorprenentment similar a les eines usades pel grup MuddyWater.
MuddyWater és un grup conegut pels seus atacs dirigits contra les nacions d'Orient mitjà i Àsia central. No obstant això, també s'han observat atacs contra nacions veïnes i unes altres com l'Índia i els EUA. Els seus objectius són una àmplia gamma d'entitats en diferents sectors com ara governs, acadèmies militars, criptomoneda, telecomunicacions i petroli.
Principalment els atacs es realitzen mitjançant l'ús de correus electrònics de pesca amb arxius adjunts maliciosos. Els documents maliciosos s'ajusten d'acord amb les regions de destinació, sovint utilitzant els logotips de les sucursals del govern local, enganyant els usuaris per a ometre els controls de seguretat i habilitar les macros.
Quan s'habiliten les macros s'afig un arxiu .dll (amb un codi de PowerShell incorporat) i un arxiu .reg en el directori %temp%. Una vegada executat l'amenaça recopila informació del sistema, com el nom del sistema operatiu, el nom de domini, el nom d'usuari, l'adreça IP i més. Quan obté la informació i s'envia al servidor de C&C comença a comunicar-se usant arxius amb el nom equivalent al md5 del número de sèrie del disc dur de la víctima més diverses extensions segons el propòsit. Per exemple: <md5(hard disk serial number)>.cmd (arxiu de text amb un comandament per a executar) i <md5(hard disk serial number)>.prc (eixida de l'arxiu .cmd executat, emmagatzemat en la màquina local).
Els comandaments admesos a la porta del darrere inclouen càrrega d'arxius, eliminació de persistència, eixida, descàrrega d'arxius i execució de comandaments.
Més informació de la notícia ací.