PowerPepper-Malware

PowerPepper-Malware-Beschreibung

PowerPepper ist eine neue Backdoor-Malware-Bedrohung, die im Rahmen des Betriebs einer APT-Gruppe (Advanced Persistent Threat) namens DeathStalker beobachtet wird. Es wird angenommen, dass diese spezielle APT als Söldner fungiert und ihre Dienste dem Höchstbietenden anbietet. Die Gruppe wurde erstmals im Jahr 2018 entdeckt, es wird jedoch angenommen, dass sie weit früher gegründet wurde. Die Hacker von DeathStalker sind hauptsächlich auf die Durchführung von Spionage- und Datendiebstahlkampagnen gegen Unternehmen aus Europa spezialisiert. Es wurden jedoch auch DeathStalker-Opfer aus Nord- und Südamerika sowie aus Asien identifiziert. Das Malware-Toolkit der Gruppe besteht aus vergleichsweise nicht so ausgefeilten Bedrohungen, weist jedoch ein hohes Maß an Wirksamkeit auf.

PowerPepper passt sehr gut zu dieser Beschreibung. Die Bedrohung kann potenzielle Backdoor-Aktivitäten ausführen, da sie Remote-Shell-Befehle ausführen kann, die von ihrer Command-and-Control-Infrastruktur (C & C, C2) empfangen werden. Die Bedrohung kann eine Vielzahl von Spionagefunktionen auf dem gefährdeten Computer ausführen, darunter das Sammeln verschiedener Benutzer- und Dateiinformationen, das Durchsuchen von Netzwerkdateifreigaben, das Abrufen zusätzlicher beschädigter Binärdateien und das Filtern der Daten-C2-Infrastruktur. Es wird angenommen, dass der anfängliche Kompromissvektor die Verteilung von Spear-Phishing-E-Mails ist. Die anfänglichen Malware-Dateien können entweder an den Text der E-Mail angehängt oder hinter beschädigten Links versteckt werden.

Der beeindruckendste Aspekt von PowerPepper ist die Vielzahl der ihm zur Verfügung stehenden Ausweichtechniken. Erstens überspringt es HTTPS und verwendet stattdessen DNS als Kommunikationskanal mit seinen C2-Servern. Die Malware sendet DNS-Anforderungen vom Typ TXT und erhielt im Gegenzug eine DNS-Antwort mit einem eingebetteten verschlüsselten Befehl. PowerPepper nutzt auch eine Steganografietechnik - Teile des beschädigten Codes der Bedrohung sind in scheinbar harmlosen Bilddateien versteckt. Diejenigen, die von der Bedrohung verwendet werden, zeigen entweder Farne oder Paprika (der Grund für den Namen, der dieser bestimmten Hintertür gegeben wurde). Das Loader-Skript, das mit dem Extrahieren der Informationen aus den Bilddateien beauftragt ist, tarnt sich wiederum als Überprüfungstool von GlobalSign, einem Identitätsdienstanbieter.

Darüber hinaus verwendet PowerPepper benutzerdefinierte Verschleierung, verschlüsselte Kommunikation und nutzt signierte Skripte, die Anti-Malware-Software täuschen könnten. DeathStalker hat außerdem sein neues Backdoor-Tool zum Filtern von Client-MAC-Adressen, der Handhabung von Excel-Anwendungen und einer Funktion zum Erkennen von Mausbewegungen ausgestattet.