专家警告隐形PowerShell后门伪装成Windows Update

关于一个先前未经记录且完全无法检测（FUD）的PowerShell后门的细节已经浮出水面，该后门通过伪装自己作为Windows更新过程的一部分而获得了隐身。

SafeBreach安全研究主管Tomer Bar在一份新的报告中表示：“秘密的自行开发工具和相关的指挥控制命令似乎是一个复杂的、未知的威胁行动者的工作，他针对了大约100名受害者。”。

据该公司称，该恶意软件的攻击链始于一份武器化的微软Word文档，该文档于2022年8月25日从约旦上传。

与引诱文档相关的元数据表明，最初的入侵向量是基于LinkedIn的矛式钓鱼攻击，最终导致通过一段嵌入的宏代码执行PowerShell脚本。

“宏删除‘updater.vbs’，创建一个计划任务，假装是Windows更新的一部分，它将从‘%appdata%\local\Microsoft\Windows’下的一个伪更新文件夹中执行updater.vbs脚本，”Tomar说。

PowerShell脚本（Script1.ps1）被设计为连接到远程命令和控制（C2）服务器，并通过第二个PowerShell命令（temp.ps1）检索要在受损机器上启动的命令。

但是，参与者通过使用平凡的增量标识符来唯一地标识每个受害者（即0、1、2等）而导致的操作安全错误允许重建C2服务器发出的命令。

传输的一些值得注意的指令包括过滤正在运行的进程列表、枚举特定文件夹中的文件、启动whoami以及删除公共用户文件夹下的文件。

截至本文撰写，32家安全供应商和18个反恶意软件引擎分别将诱饵文档和PowerShell脚本标记为恶意。

这些发现是在微软已经采取措施，在Office应用程序中默认阻止Excel 4.0（XLM或XL4）和Visual Basic for Applications（VBA）宏，促使威胁行为体转向其他交付方法之际得出的。