PowerPepper Malware
PowerPepper is een nieuwe achterdeur-malwarebedreiging die wordt waargenomen als onderdeel van de activiteiten van een geavanceerde persistente dreiging (APT) -groep genaamd DeathStalker. Aangenomen wordt dat deze specifieke APT optreedt als huurling en zijn diensten aanbiedt aan de hoogste bieder. De groep werd voor het eerst ontdekt in 2018, maar wordt verondersteld veel eerder te zijn opgericht. De hackers van DeathStalker zijn voornamelijk gespecialiseerd in het uitvoeren van spionage- en datadiefstalcampagnes gericht op entiteiten uit Europa. Er zijn echter ook DeathStalker-slachtoffers uit Noord- en Zuid-Amerika, evenals Azië, geïdentificeerd. De malware-toolkit van de groep bestaat uit relatief niet zo geavanceerde bedreigingen, maar vertoont een hoge mate van doeltreffendheid.
PowerPepper past best goed in die beschrijving. De dreiging is in staat tot krachtige backdoor-activiteiten omdat het remote shell-commando's kan uitvoeren die zijn ontvangen van zijn Command-and-Control (C&C, C2) -infrastructuur. De dreiging kan een breed scala aan spionagefuncties uitvoeren op de gecompromitteerde machine, waaronder het verzamelen van verschillende gebruikers- en bestandsinformatie, bladeren door netwerkbestandsshares, het ophalen van extra beschadigde binaire bestanden en het exfiltreren van de C2-gegevensinfrastructuur. Aangenomen wordt dat de aanvankelijke compromisvector de distributie van spear-phishing-e-mails is. De initiële malwarebestanden kunnen worden toegevoegd aan de hoofdtekst van de e-mail of worden verborgen achter beschadigde koppelingen.
Het meest indrukwekkende aspect van PowerPepper is de veelheid aan ontwijkingstechnieken die het tot zijn beschikking heeft. Ten eerste slaat het HTTPS over en gebruikt het in plaats daarvan DNS als communicatiekanaal met zijn C2-servers. De malware verstuurt DNS-verzoeken van het type TXT en ontving in ruil daarvoor een DNS-antwoord met een ingesloten gecodeerde opdracht. PowerPepper maakt ook gebruik van een steganografietechniek: delen van de beschadigde code van de dreiging zijn verborgen in schijnbaar onschadelijke afbeeldingsbestanden. Degenen die door de dreiging worden gebruikt, tonen ofwel varens of paprika's (de reden voor de naam die aan deze specifieke achterdeur is gegeven). Het loader-script dat de taak heeft om de informatie uit de afbeeldingsbestanden te extraheren, doet zich op zijn beurt voor als een verificatietool van GlobalSign, een identiteitsserviceprovider.
Bovendien gebruikt PowerPepper aangepaste verduistering, gecodeerde communicatie en maakt het gebruik van ondertekende scripts die anti-malwaresoftware voor de gek kunnen houden. DeathStalker heeft ook hun nieuwe backdoor-tool uitgerust om MAC-adressen van clients te filteren, Excel-applicatie-afhandeling en een functie die verantwoordelijk is voor het detecteren van muisbewegingen.
