Egy izraeli infrastruktúrát és vállalati szektort érő új, célzott kibertámadási kampányt tárt fel a Fortinet FortiGuard Labs. A támadás rendkívül kifinomult, kizárólag Windows rendszereken keresztül zajlik, és PowerShell szkripteken alapul. A kampány fő célja az adatszivárogtatás, a tartós megfigyelés és a hálózaton belüli laterális mozgás biztosítása a kompromittált rendszerekben.

A támadás felépítése

A támadás egy több szakaszból álló, kizárólag PowerShell alapú fertőzési láncot használ. Ez a megközelítés lehetővé teszi, hogy a támadók elkerüljék a hagyományos antivírus megoldások általi észlelést, mivel semmilyen külső futtatható fájl nem kerül letöltésre közvetlenül a rendszerre.

A belépési pont egy jól kidolgozott adathalász kampány, amely meghívónak álcázott e-maileket küld például háborús orvosi ellátásokról szóló mentorálási alkalmakra hivatkozva. A levelekben található linkek egy hamis Microsoft Teams felületre irányítanak, ahol a „ClickFix” nevű social engineering taktikát alkalmazzák. Ez arra utasítja a felhasználót, hogy nyissa meg a „Futtatás” ablakot (Win+R), illesszen be egy a hamis weboldalról kimásolt karakterláncot, majd futtassa azt ezzel elindítva egy rejtett PowerShell parancsot.

Technikai részletek és működés

A megtévesztő weboldal HTML-kódjába három Base64 enkódolt string van beágyazva. Ezek dekódolás után egy Invoke-RestMethod alapú PowerShell parancsot hoznak létre, amely a támadó szerveréről egy másodlagos szkriptet tölt le, például a test.html nevű fájlt.

Ez a fájl binárisan kódolt adatcsomagokat tartalmaz, elválasztó karakterláncokkal (pl. „kendrick”). Egy következő PowerShell szkript ezeket az adatokat ASCII-karakterláncokká alakítja vissza, majd futtatható kóddá állítja össze. A végeredmény egy teljesen PowerShell-alapú távoli elérésű trójai (RAT – Remote Access Trojan), amelynek minden komponense a memóriában fut.

A RAT működésének jellemzői:

• Az init függvény összegyűjti a fertőzött gép adatait (felhasználónév, domain, gépnév), majd Base64 + GZip tömörítéssel, kétszeri reverzálással elküldi azokat a támadó C2 szerverére.
• Az állandóságot egy végtelen polling ciklus biztosítja, amely 2–7 másodperces véletlenszerű időközönként új parancsokat kér le.
• A szerver válaszai szintén tömörítettek, a karakterek sorrendje megfordított, és különböző prefix kódokkal irányítják a tevékenységet (pl. 7979: újrainicializálás, 5322: payload letöltés, 4622: polling idő módosítása, 2474: tetszőleges PowerShell-parancs végrehajtása).

Rejtőzködési és elhárítási technikák

A támadás kiváló példája a “living-off-the-land” taktikának, amely a rendszerben már meglévő komponensek (jelen esetben PowerShell) kihasználásával működik. A támadók összetett obfuszkációs technikákat alkalmaznak, például dupla GZip tömörítést, Base64 enkódolást, string visszafordítást, valamint URL-safe karakter átírásokat.

A hálózati kommunikáció HTTPS-en keresztül történik, és a legitimitást utánozva beállított user-agentek, proxyk és a .NET urlmon.dll használata segít a rejtőzködésben.

Védekezés és javaslatok

A Fortinet többféle védelmet javasol az ilyen típusú támadások ellen:

• AV-alapú felismerés: például PowerShell/Agent.PH!tr detekció.
• Végponti védelem: FortiEDR segítségével.
• Hálózati szűrés: IPS és DNS-alapú blokkolás a káros domainek (pl. pharmacynod[.]com) ellen.

Fontosabb kompromittálási indikátorok (IoC-k)

Ez az eset jól mutatja, milyen mértékben képesek a modern támadók a rendszeren belül elrejtőzni és legitim folyamatokat utánozni, ezért a holisztikus, több szintű védelem és a tanulás a felhasználók számára kulcsfontosságú a megelőzésben.

(forrás, forrás)