PowerPepper Malware

PowerPepper Malware Beskrivelse

PowerPepper er en ny bagdør malware trussel observeret som en del af operationerne i en avanceret vedvarende trussel (APT) gruppe ved navn DeathStalker. Denne særlige APT menes at fungere som en lejesoldat og tilbyde sine tjenester til højstbydende. Gruppen blev først opdaget i 2018, men menes at være etableret langt tidligere. Hackerne fra DeathStalker specialiserer sig mest i udførelse af spionage og datatyveri-kampagner rettet mod enheder fra Europa. Dog er DeathStalker-ofre fra Nord- og Sydamerika såvel som Asien også identificeret. Gruppens malware-værktøjssæt består af relativt ikke så sofistikerede trusler, men udviser høje niveauer af effektivitet.

PowerPepper passer den beskrivelse ganske pænt. Truslen er i stand til potente bagdøraktiviteter, da den kan udføre eksterne shell-kommandoer modtaget fra sin Command-and-Control (C&C, C2) infrastruktur. Truslen kan udføre en bred vifte af spioneringsfunktioner på den kompromitterede maskine, herunder høst af forskellige bruger- og filoplysninger, gennemsøgning af netværksfildelinger, hentning af yderligere beskadigede binære filer og exfiltrering af data C2-infrastruktur. Den indledende kompromisvektor menes at være distributionen af spear-phishing-e-mails. De indledende malware-filer kan enten vedhæftes e-mailens krop eller skjules bag beskadigede links.

Det mest imponerende aspekt af PowerPepper er de mange unddragelsesteknikker, den har til rådighed. For det første springer den over HTTPS og bruger i stedet DNS som en kommunikationskanal med sine C2-servere. Malwaren sender TXT-type DNS-anmodninger og modtager til gengæld et DNS-svar med en indlejret krypteret kommando. PowerPepper drager også fordel af en steganografiteknik - dele af den ødelagte kode for truslen er skjult inde i tilsyneladende uskadelige billedfiler. De, der bruges af truslen, skildrer enten bregner eller peberfrugter (årsagen til navnet givet til denne særlige bagdør). Loader-scriptet, der har til opgave at udtrække informationen fra billedfilerne, er på sin side maskeret som et verifikationsværktøj fra GlobalSign, en identitetstjenesteudbyder.

Derudover anvender PowerPepper brugerdefineret tiltrækning, krypteret kommunikation og udnytter signerede scripts, der kan narre anti-malware-software. DeathStalker har også udstyret deres nye bagdørværktøj til at filtrere klientens MAC-adresser, Excel-applikationshåndtering og en funktion, der er ansvarlig for detektering af musebevægelse.