专家警告隐匿 PowerShell 后门伪装成 Windows 更新

有关以前未记录且完全无法检测 (FUD) 的 PowerShell 后门的详细信息已经出现，该后门通过将自己伪装成 Windows 更新过程的一部分来获得隐蔽性。

SafeBreach 的安全研究主管 Tomer Bar在一份新报告中表示： “秘密的自行开发工具和相关的 C2 命令似乎是一个复杂的、未知的威胁参与者的工作，该攻击者针对大约 100 名受害者。”

归因于一个未具名的威胁参与者，涉及该恶意软件的攻击链始于一份武器化的Microsoft Word 文档，据该公司称，该文档于 2022 年 8 月 25 日从约旦上传。

与诱饵文档相关的元数据表明，最初的入侵向量是基于 LinkedIn 的鱼叉式网络钓鱼攻击，最终导致通过一段嵌入式宏代码执行 PowerShell 脚本。

PowerShell 脚本 ( Script1.ps1 ) 旨在连接到远程命令和控制 (C2) 服务器，并通过第二个 PowerShell 脚本 ( temp.ps1 ) 检索要在受感染计算机上启动的命令。

但是，参与者通过使用微不足道的增量标识符来唯一标识每个受害者（即 0、1、2 等）而犯的操作安全错误允许重构 C2 服务器发出的命令。

发布的一些值得注意的命令包括泄露正在运行的进程列表、枚举特定文件夹中的文件、启动 whoami 以及删除公共用户文件夹下的文件。

在撰写本文时，32 个安全供应商和 18 个反恶意软件引擎分别将诱饵文档和 PowerShell 脚本标记为恶意。

调查结果发布之际，微软已采取措施在 Office 应用程序中默认阻止 Excel 4.0（XLM 或 XL4）和 Visual Basic for Applications (VBA) 宏，促使威胁参与者转向替代交付方法。