APT35是疑似伊朗國家支持的APT組織，又名 Charming Kitten、TA453 或 Phosphorus。1月11日，研究人員披露，該組織正利用Log4Shell漏洞，釋放新的模塊化PowerShell后門。

簡況

APT35組織在目標應用安全更新之前率先利用該漏洞掃描易受攻擊的系統(tǒng)。模塊化有效載荷名為CharmPower，可以處理 C2 通信、執(zhí)行系統(tǒng)枚舉，并最終接收、解密和加載其他模塊。APT35組織活動的感染鏈如下圖：

該核心模塊可以執(zhí)行以下主要功能：

• 驗證網(wǎng)絡連接：執(zhí)行后，腳本通過使用參數(shù) hi=hi 向 Google.com 發(fā)出 HTTP POST 請求來等待活動的網(wǎng)絡連接。
• 基本系統(tǒng)枚舉：該腳本收集 Windows 操作系統(tǒng)版本、計算機名稱以及 $APPDATA 路徑中的文件 Ni.txt 的內(nèi)容;該文件可能由不同模塊創(chuàng)建和填充。
• 檢索 C&C 域：惡意軟件解碼從硬編碼 URL hxxps://s3[.]amazonaws[.]com/doclibrarysales/3 檢索的 C&C 域。
• 接收、解密、執(zhí)行后續(xù)模塊。

核心模塊不斷向 C2 發(fā)送 HTTP POST 請求，C&C 服務器可以通過以下兩種方式之一進行響應：

• NoComm：無命令，腳本繼續(xù)發(fā)送 POST 請求。
• Base64 字符串：要執(zhí)行的模塊。該模塊使用簡單的替換密碼進行加密，并以 base64 編碼。

Base64 字符串啟動下載額外的 PowerShell 或 C# 模塊。“CharmPower”負責解密和加載這些模塊，然后這些模塊與 C2 建立獨立的通信通道。要發(fā)送到受感染端點的模塊列表是根據(jù) CharmPower 在偵察階段檢索到的基本系統(tǒng)數(shù)據(jù)自動生成的。

C2發(fā)送的附加模塊如下：

• 應用程序：枚舉卸載注冊表值并使用“wmic”命令確定受感染系統(tǒng)上安裝了哪些應用程序。
• 屏幕截圖：根據(jù)指定的頻率捕獲屏幕截圖，并使用硬編碼憑據(jù)將它們上傳到 FTP 服務器。
• 進程：使用 tasklist 命令獲取正在運行的進程。
• 系統(tǒng)信息：執(zhí)行“systeminfo”命令以收集系統(tǒng)信息。
• 命令執(zhí)行：具有 Invoke-Expression、cmd 和 PowerShell 選項的遠程命令執(zhí)行模塊。
• 清理：刪除受感染系統(tǒng)中留下的所有痕跡，例如注冊表和啟動文件夾條目、文件和進程。

歸因

“CharmPower”后門與 APT35 過去使用的 Android 間諜軟件之間具有相似之處，包括實現(xiàn)相同的日志記錄功能并使用相同的格式和語法。此外，在兩個樣本中都可以看到 C2 通信中的“Stack=Overflow”參數(shù)，這是僅在 APT35 工具中觀察到的獨特參數(shù)。研究人員基于這些代碼的相似性和基礎設施重疊將活動歸因于 APT35。