За разработкой бэкдора стоит неизвестная, но крайне подготовленная группировка.
Ранее нигде не упоминавшийся бэкдор обнаружили эксперты из компании SafeBreach. Вредонос крайне скрытный, так как маскируется под процесс обновления Windows.
По словам Томера Бара, руководителя команды исследователей в SafeBreach, за незаметным вредоносом и его C&C-инфраструктурой стоит крайне хорошо подготовленная группировка, которая уже атаковала около 100 жертв.
Цепочка атак неизвестной группировки начинается с Word-документа ( VirusTotal ), который 25 августа 2022 года был выгружен в сеть из Иордании. Метаданные документа говорят о том, что хакеры нацелены в первую очередь на пользователей LinkedIn.
Если жертва откроет документ, то с помощью вшитого в файл макрокода на ее компьютере выполнится PowerShell-скрипт ( Script1.ps1 )
https://www.securitylab.ru/upload/im...t-img(615).png
PowerShell-скрипт нужен для подключения к C&C-серверу и получения команд, которые будут запущены вторым скриптом ( temp.ps1 ).
Однако хакеры допустили ошибку в своем скрипте, с помощью чего исследователи смогли реконструировать команды, отправляемые сервером. Среди них были команды для запуска whoami, перечисления файлов в определенных папках, извлечения списка запущенных процессов и удаления файлов из общих папок пользователей.