Хакеры используют скрипты PowerShell для скрытых атак

Разработчик антивирусов Eset сообщил, что киберпреступники атаковали дипломатические учреждения в Восточной Европе с использованием скриптов PowerShell, которые усложняют обнаружение вредоносных программ.

Эти скрипты, позволяющие загружать и запускать вредоносные программы прямо в памяти, задействовала хакерская группировка Turla. Используемый ею метод является более эффективным для сокрытия вредоносной активности по сравнению с традиционным сохранением исполняемого файла на диск. Эксперты Eset отмечают, что PowerShell-скрипты являются неотъемлемыми компонентами, позволяющими загрузить RPC- и PowerShell-бэкдоры.

Ранее киберпреступники уже пытались использовать загрузчики PowerShell, однако вредоносную кампанию не удалось реализовать из-за многочисленных ошибок. Сейчас Turla обновила скрипты и теперь использует их для загрузки разнообразных вредоносных программ.

Несмотря на использование скриптов PowerShell, антивирусные продукты по-прежнему могут детектировать вредоносную полезную нагрузку. Эксперты выделяют два вида бэкдоров, один из которых получает контроль над устройствами локальной сети без привязки к внешнему C&C-серверу (бэкдор на базе RPC-протокола).

По мнению экспертов, использование средства с открытым исходным кодом (язык PowerShell) не означает, что группировка откажется от своих традиционных инструментов. Более того, киберпреступники, скорее всего, продолжат их совершенствование.



Источник: DailyComm