PowerLess Backdoor

Phosphorusとして追跡されているハッキンググループがあります。
彼らが現在使用しているツールが観測されています。
PowerLess Backdoorです。
これはトロイの木馬です。
こんな感じで動きます。

• WindowsProcesses.exeというファイルが取り込まれる
• dll.dllというファイルを読み込む
• dll.dllがupcというファイルを復号化する
  dll.dllは.NET AES復号化ツールとなっています。
• 復号化されたupcがC2接続の準備を実施する
• upcがPowerShellで書かれたバックドアを復号化する
• バックドアが起動される
  バックドアは.NETコンテキスト内で起動されます。
  .NETコンテキスト内で起動されたPowerShell Scriptは、プロセス的にみるとpowershell.exeの起動を伴いません。
  つまりプロセス一覧にpowershell.exeはありません。
  このため、powershell.exeを使用するプロセスを監視する形式で検知を試みるセキュリティの仕組みはこの問題を検出できない可能性があります。

このバックドアがPowerLess Backdoorです。
powershell.exeを使用しないためこのような命名がされたのでしょうか。

PowerLess Backdoorは多機能です。
こんな機能があります。

• 追加マルウェアのダウンロード機能と実行機能
  Browsers info stealerやKeylogger moduleを持ってきます。
• C2との暗号化通信機能
• 任意コマンド実行機能
• プロセス停止機能

どれもおなじみの機能です。
攻撃プロセスが始まってしまうと防御することは難しそうです。
攻撃プロセスを開始される可能性を低く保つことが期待できるように日々運用することで対応していくことになりそうです。

参考記事（外部リンク）：PowerLess Trojan: Iranian APT Phosphorus Adds New PowerShell
Backdoor for Espionage
www.cybereason.com/blog/powerless-trojan-iranian-apt-phosphorus-adds-new-powershell-backdoor-for-espionage