APT35是疑似伊朗國家支持的APT組織，又名 Charming Kitten、TA453 或 Phosphorus。1月11日，研究人員披露，該組織正利用Log4Shell漏洞，釋放新的模塊化PowerShell后門。

簡況

APT35組織在目標應用安全更新之前率先利用該漏洞掃描易受攻擊的系統。模塊化有效載荷名為CharmPower，可以處理 C2 通信、執行系統枚舉，并最終接收、解密和加載其他模塊。APT35組織活動的感染鏈如下圖：

該核心模塊可以執行以下主要功能：

• 驗證網絡連接：執行后，腳本通過使用參數 hi=hi 向 Google.com 發出 HTTP POST 請求來等待活動的網絡連接。
• 基本系統枚舉：該腳本收集 Windows 操作系統版本、計算機名稱以及 $APPDATA 路徑中的文件 Ni.txt 的內容;該文件可能由不同模塊創建和填充。
• 檢索 C&C 域：惡意軟件解碼從硬編碼 URL hxxps://s3[.]amazonaws[.]com/doclibrarysales/3 檢索的 C&C 域。
• 接收、解密、執行后續模塊。

核心模塊不斷向 C2 發送 HTTP POST 請求，C&C 服務器可以通過以下兩種方式之一進行響應：

• NoComm：無命令，腳本繼續發送 POST 請求。
• Base64 字符串：要執行的模塊。該模塊使用簡單的替換密碼進行加密，并以 base64 編碼。

Base64 字符串啟動下載額外的 PowerShell 或 C# 模塊。“CharmPower”負責解密和加載這些模塊，然后這些模塊與 C2 建立獨立的通信通道。要發送到受感染端點的模塊列表是根據 CharmPower 在偵察階段檢索到的基本系統數據自動生成的。

C2發送的附加模塊如下：

• 應用程序：枚舉卸載注冊表值并使用“wmic”命令確定受感染系統上安裝了哪些應用程序。
• 屏幕截圖：根據指定的頻率捕獲屏幕截圖，并使用硬編碼憑據將它們上傳到 FTP 服務器。
• 進程：使用 tasklist 命令獲取正在運行的進程。
• 系統信息：執行“systeminfo”命令以收集系統信息。
• 命令執行：具有 Invoke-Expression、cmd 和 PowerShell 選項的遠程命令執行模塊。
• 清理：刪除受感染系統中留下的所有痕跡，例如注冊表和啟動文件夾條目、文件和進程。

歸因

“CharmPower”后門與 APT35 過去使用的 Android 間諜軟件之間具有相似之處，包括實現相同的日志記錄功能并使用相同的格式和語法。此外，在兩個樣本中都可以看到 C2 通信中的“Stack=Overflow”參數，這是僅在 APT35 工具中觀察到的獨特參數。研究人員基于這些代碼的相似性和基礎設施重疊將活動歸因于 APT35。