APT35是一个疑似伊朗国家支持的APT组织,也被称为CharmingKitten、TA453或Phosphorus。1月11日,研究人员透露,该组织正在利用Log4Shell漏洞投放新的模块化PowerShell后门。APT35组织率先利用该漏洞在其目标应用安全更新之前扫描易受攻击的系统。称为CharmPower的模块化有效载荷处理C2通信,执行系统枚举,并最终接收、解密和加载其他模块。APT35组织活动的感染链如下:该核心模块可以执行以下主要功能:验证网络连接:脚本执行后,通过向Google.com发送带有参数的HTTPPOST请求来等待活跃的网络连接嗨=嗨。基本系统枚举:脚本收集Windows操作系统版本、计算机名称和$APPDATA路径中文件Ni.txt的内容;该文件可能由不同的模块创建和填充。检索C&C域:恶意软件解码从硬编码URLhxxps://s3[.]amazonaws[.]com/dolibrarysales/3检索到的C&C域。接收、解密和执行后续模块。核心模块不断向C2发送HTTPPOST请求,C&C服务器可以通过以下两种方式之一响应:NoComm:Nocommand,脚本继续发送POST请求。Base64字符串:要执行的模块。此模块使用简单的替换密码加密并以base64编码。用于启动附加PowerShell或C#模块下载的Base64字符串。“CharmPower”负责解密和加载这些模块,然后与C2建立独立的通信通道。发送到受感染端点的模块列表是根据CharmPower在侦察阶段检索到的基本系统数据自动生成的。C2发送的附加模块如下:应用程序:枚举卸载注册表值并使用“wmic”命令确定受感染系统上安装了哪些应用程序。屏幕截图:以指定频率捕获屏幕截图,并使用硬编码凭据将它们上传到FTP服务器。进程:使用tasklist命令获取正在运行的进程。系统信息:执行“systeminfo”命令收集系统信息。命令执行:具有调用表达式、cmd和PowerShell选项的远程命令执行模块。清理:删除受感染系统上留下的所有痕迹,例如注册表和启动文件夹条目、文件和进程。归因于“CharmPower”后门与APT35过去使用的Android间谍软件之间的相似之处,包括实现相同的日志记录功能以及使用相同的格式和语法。此外,在两个样本中都可以看到C2通信中的“Stack=Overflow”参数,这是一个仅在APT35工具中观察到的独特参数。研究人员根据这些代码的相似性和基础设施重叠将活动归因于APT35。
