伊朗黑客在网络间谍攻击中使用新型PowerShell后门

一个与伊朗有联系的高级持久性威胁组织更新了其恶意软件工具集，包括一种新型的基于PowerShell的植入物，名为无力的后门根据Cybereason发布的最新研究。

这家总部位于波士顿的网络安全公司将该恶意软件归咎于一个名为Charming Kitten（又名Posphour，APT35，或TA453）的黑客组织，同时还呼吁后门执行PowerShell。

Cybereason的高级恶意软件研究员丹尼尔·弗兰克（Daniel Frank）说：“PowerShell代码在.NET应用程序的上下文中运行，因此不会启动‘PowerShell.exe’，从而使其能够规避安全产品。”。“分析的工具集包括极其模块化、多阶段的恶意软件，它们分几个阶段解密和部署额外的有效载荷，以实现隐蔽性和有效性。”

这名威胁行为人至少自2017年以来一直活跃，近年来一直在策划一系列活动，其中包括对手冒充记者和学者，欺骗目标安装恶意软件和窃取机密信息。

本月早些时候，Check Point Research披露了一项间谍行动的细节，黑客组织利用Log4Shell漏洞部署了一个名为CharmPower的模块化后门，用于后续攻击。

正如Cybereason所发现的那样，对其武库的最新改进构成了一个全新的工具集，它包含了强大的后门，能够下载和执行额外的模块，如浏览器信息窃取器和键盘记录器。

与后门的同一个开发者有潜在联系的还有其他一些恶意软件，包括录音机、信息窃取者的早期变体，以及研究人员怀疑编码的未完成勒索软件变体。网

弗兰克说：“磷对ProxyShell的活性与Memento发生的时间大致相同。”。“据报道，伊朗威胁行为人也在这段时间内使用勒索软件，这强化了Memento由伊朗威胁行为人操作的假设。”