Die staatlich unterstützte iranische APT35-Gruppe (auch bekannt als „Charming Kitten“ oder „Phosphorus“) verwendet Log4Shell, um eine neue Malware namens PowerShell-Backdoor zu löschen. Die modulare Nutzlast kann Systemdetails sammeln, die C2-Kommunikation verarbeiten und schließlich zusätzliche Module entschlüsseln, empfangen und laden.
Log4Shell (CVE-2021-44228) war eine Zero-Day-Schwachstelle in Log4j, einem beliebten Java-Logging-Framework, das im Dezember die Ausführung willkürlichen Codes beinhaltet.
APT35 gehörte zu den ersten, die die Log4j-Sicherheitslücke nutzten, bevor die Ziele die Möglichkeit hatten, Sicherheitsupdates zu installieren und nur wenige Tage nach der Veröffentlichung nach anfälligen Systemen zu scannen, so die Forscher von Check Point.
Nachdem Check Point all diese Versuche verfolgt hat, ordnet Check Point die Exploit-Aktivität APT35 als Angriffe des Bedrohungsakteurs zu. Dieser Angriff erfolgt normalerweise unter Verwendung einer zuvor exponierten Infrastruktur, von der bekannt war, dass sie in dieser Gruppe verwendet wurde.
Im Rahmen seiner Recherchen entdeckte der Analyst auch etwas Neues in Form einer modularen PowerShell-Backdoor namens „CharmPower“.
Mehrere Aufgaben durch modulare Backdoor
Log4Shell, auch bekannt als CVE-2021-44228, führt dazu, dass ein PowerShell-Befehl mit einer base64-codierten Nutzlast ausgeführt wird. Früher oder später ruft das CharmPower-Modul von einem aktorgesteuerten Amazon S3-Bucket ab. Dieses Kernmodul kann verschiedene Funktionen erfüllen:
Netzwerkverbindung validieren: Nach dem Öffnen wartet das Skript auf eine aktive Internetverbindung, indem es HTTP-POST-Anfragen an google.com mit dem Parameter hi=hi sendet.
Grundlegende Systemaufzählung: Das Skript sammelt die Windows-Betriebssystemversion, den Computernamen und den Inhalt einer Datei Ni.txt im Pfad $APPDATA; höchstwahrscheinlich wird die Datei von verschiedenen Modulen erstellt und gefüllt, die vom Hauptmodul heruntergeladen werden.
C&C-Domäne abrufen: Die Malware entschlüsselt die C&C-Domäne, die von einer hartcodierten URL hxxps://s3[.]amazonaws[.]com/doclibrarysales/3 abgerufen wurde, die sich im selben S3-Bucket befindet, von dem die Hintertür heruntergeladen wurde.
Folgemodule empfangen, entschlüsseln und ausführen.
Die Kernmodule senden weiterhin HTTP-POST-Anfragen an das C2, die entweder unbeantwortet bleiben oder einen Base64string erhalten, der den Download eines zusätzlichen PowerShell- oder C#-Moduls startet.
Für das Entschlüsseln und Laden dieser Module ist CharmPower verantwortlich. Danach baut es mit Hilfe von C2 einen eigenständigen Kommunikationskanal auf.
Während der Aufklärungsphase wird die Liste der Module an den infizierten Endpunkt gesendet und automatisch generiert, die auf den von CharmPower abgerufenen grundlegenden Systemdaten basiert. Daher sind die vom C2 gesendeten zusätzlichen Module wie folgt:
Anwendungen: Zählt die Registrierungswerte für die Deinstallation auf und verwendet den Befehl “wmic”, um herauszufinden, welche Anwendungen auf dem infizierten System installiert sind.
Screenshot: Nimmt Screenshots in einer bestimmten Häufigkeit auf und lädt sie mit fest codierten Anmeldeinformationen auf einen FTP-Server hoch.
Systeminformationen: Um die Systemdaten zu sammeln, Führt den Befehl “systeminfo” aus. Hat viele weitere Befehle, sind aber auskommentiert.
Bereinigung: Es wird verwendet, um alle Spuren zu entfernen, die auf dem kompromittierten PC verbleiben, wie Registrierungs- und Startordnereinträge, Dateien und Prozesse. Es wird ganz am Ende der APT35-Angriffe fallen gelassen.
Prozess: Verbraucht durch Verwendung des Befehls tasklist laufende Prozesse.
Befehlsausführung: Remote-Befehlsausführungsmodul mit Invoke-Expression-, cmd- und PowerShell-Optionen.
Ähnlichkeiten mit alten Hintertüren
In der Vergangenheit hat Check Point Ähnlichkeiten zwischen CharmPower und einer vom APT35 verwendeten Android-Spyware festgestellt. Dies beinhaltet die Verwendung der gleichen Protokollierungsfunktionen und ein identisches Format und eine identische Syntax. Außerdem werden die Parameter „Stack=Overflow“ in der C2-Kommunikation in beiden Beispielen angezeigt, die nur in APT35-Tools zu sehen sind.
Diese Ähnlichkeiten der Codes ermöglichten es Check Point, die Kampagne APT35 zuzuordnen. CharmPower ist ein Beispiel dafür, wie schnell erfahrene Akteure auf das Auftreten von Schwachstellen wie CVE-2021-44228 reagieren und Code aus zuvor exponierten Tools zusammenstellen können, um etwas Effektives und Nützliches zu schaffen.