El malware basado en PowerShell es un tipo de malware sin archivos que aprovecha PowerShell para ejecutar scripts maliciosos directamente en la memoria, lo que ayuda a evadir los métodos de detección de las soluciones antivirus.
Los atacantes prefieren este enfoque porque PowerShell está estrechamente integrado con Windows y puede ejecutar comandos sin previo aviso.
El equipo de Securonix Threat Research identificó recientemente que los piratas informáticos norcoreanos están utilizando activamente malware basado en PowerShell con serias técnicas de evasión.
Hackers norcoreanos y malware basado en PowerShell
El ciberataque en curso ha sido denominado SHROUDED#SLEEP, y este nuevo ataque está siendo liderado por el grupo APT de Corea del Norte APT37 (también conocido como Reaper y Group123).
Analice enlaces sospechosos utilizando la nueva herramienta de navegación segura de ANY.RUN: pruébela gratis
Este grupo se dirige principalmente a los “países del sudeste asiático”, centrándose principalmente en “Camboya”.
El ataque comienza con un “correo electrónico de phishing” que contiene un “archivo zip” malicioso que contiene un archivo de acceso directo malicioso (“.lnk”) que parece un documento “PDF” o “Excel”.
Estos atajos desencadenan una sofisticada cadena de ataques “basada en PowerShell” que extrae tres cargas útiles:
Documento señuelo ('e.xlsx'). Archivo de configuración ('d.exe.config'). DLL malicioso ('DomainManager.dll').
La carga útil final es una puerta trasera de PowerShell personalizada llamada “VeilShell” que proporciona la funcionalidad RAT que permite al actor de amenazas tomar el control total del “sistema comprometido”.
El malware utiliza dfsvc.exe de .NET Framework como cobertura legítima y al mismo tiempo emplea varias técnicas de evasión, como tiempo de suspensión prolongado y secuestro de AppDomainManager para lograr persistencia.
El malware en la parte superior de la cadena de ataque se comunica con el servidor de comando y control a través de HTTPS (específicamente jumpshare(.)com), utiliza cifrado TLS 1.2 y ejecuta código JavaScript recuperado del servidor, todo ello mientras permanece “sigiloso”. Mediante “dilaciones estratégicas” y “procedimientos de limpieza”.
Flujo de ataque (Fuente – Securonix)
Una vez ejecutado, el dropper aprovecha los comandos de PowerShell para implementar múltiples etapas de ataque, incluida una DLL personalizada llamada DomainManager.dll mediante técnicas de secuestro de AppDomainManager.
La DLL se ejecuta a través de un archivo ejecutable legítimo renombrado ('d.exe') con un 'Cifrado César' para decodificar y ejecutar JavaScript remoto desde el servidor C2 ubicado en hxxp://208.85 ('-7 shift'). . 16(.)88.
Este JavaScript creó un objeto “WScript.Shell” para interactuar con el entorno de Windows e implementó la carga útil final.
La RAT establece persistencia a través de modificaciones del registro de Windows y se comunica con el 'servidor C2' en 'hxxp://172.93.181(.)249' a través de 'solicitudes HTTP GET/POST' y 'Tenía un tamaño de búfer de 1 MB. ”
Las capacidades de VeilShell incluyen funcionalidad de carga/descarga de archivos, modificaciones del registro, creación de tareas programadas y recopilación de información del sistema (nombre de host y nombre de usuario) para identificar a las víctimas.
Para evadir la detección antivirus, el malware empleó retrasos estratégicos (un “intervalo de suspensión de 64 segundos”) para evitar la ejecución directa de comandos.
Para pasar desapercibido en sistemas comprometidos durante períodos prolongados, este ataque de varias etapas utiliza herramientas legítimas de Windows y “T1204.001” (“Shortcut File Dropper”), “T1574.014” (“T1574.014″) ” AppDomainManager Hijack”), “T1059.007” (“JavaScript remoto”) y “T1059.001” (“PowerShell Backdoor”).
Recomendaciones
Todas las recomendaciones se enumeran a continuación: –
Evite descargar archivos basura (zip, rar, pdf). Trate los enlaces de descarga externos como peligrosos. Supervise la preparación de malware en %APPDATA%\Startup. Supervise la persistencia y las tareas programadas en el registro. Utilice el registro de puntos finales (Sysmon, PowerShell).
Seminario web gratuito sobre cómo proteger su pequeña empresa de las ciberamenazas avanzadas -> Registro gratuito
North Korean Hackers Employ PowerShell-Based Malware With Serious Evasion Techniques
