SafeBreachは10月18日(米国時間)、「SafeBreach Uncovers Fully Undetectable PowerShell Backdoor|SafeBreach」において、これまで文書化されていなかった新たなPowerShellのバックドアを発見したと伝えた。これは巧妙かつ未知の脅威者によって作成され、Windowsの更新プロセスの一部として自身を偽装するというユニークな手法を使用していることが調査によって判明している。

  • SafeBreach Uncovers Fully Undetectable PowerShell Backdoor|SafeBreach

    SafeBreach Uncovers Fully Undetectable PowerShell Backdoor|SafeBreach

Windowsの更新プロセスの一部として自身を偽装するという新しいアプローチを利用した「完全に検出不能(FUD: Fully UnDetectable)」なPowerShellバックドアが、SafeBreachのセキュリティ専門家チームの調査によって発見された。このPowerShellバックドアおよび関連するコマンド&コントロール(C2: Command and Control) ツールは、約100名の被害者をターゲットにした未知の脅威者によるものであると分析されている。

このマルウェアの攻撃チェーンは、悪意のあるPowerShellスクリプトを起動させるマクロコードが含まれたMicrosoft Word文書から始まっている。Word文書は「Apply Form.docm」というファイル名となっており、2022年8月25日にヨルダンからアップロードされている。

  • Content of Apply Form.docm|SafeBreach

    Content of Apply Form.docm|SafeBreach

PowerShellスクリプトは2つあり、最初のPowerShellスクリプト(Script1.ps1)はリモートのコマンド&コントロールサーバに接続し、2番目のPowerShellスクリプト(temp.ps1)を使用して、侵入先のマシンで起動するコマンドを取得するよう設計されている。

この新たな脅威について認識を高めてもらうため、SafeBreachはこのマルウェアに関する情報およびセキュリティ侵害インジケータ(IoC: Indicator of Compromise)を公開している。また、この脅威に対して組織やユーザが公開された情報を利用して適切に検知し、保護できることが望まれている。