Confucio è un nuovo malware rilevato da ricercatori di Palo Alto di rete. Si tratta di una backdoor che consente di visualizzare tutto la creatività dalla parte dei criminali informatici. I ricercatori hanno analizzato due campioni del malware, tratto da due campagne di cyber spionaggio separati.
In 2013, Rapid7 riportato una serie di attacchi contro obiettivi relativamente amatoriali pakistani. Per molto tempo dopo che la relazione è stata pubblicata, poco è cambiato nel modo in cui funzionano gli attaccanti. Anche se molti degli attacchi che vediamo oggi dal gruppo rimangono gli stessi, abbiamo iniziato osservando una nuova backdoor, CONFUCIUS_A, essere caduto dagli aggressori a partire nei primi mesi del 2014.
Malware scritto da principianti o amatori utilizza indirizzi IP hardcoded nel suo codice sorgente. minacce avanzate impiegano algoritmo di generazione nome di dominio dinamico (DGA) per nascondere gli indirizzi IP reali del server di comando e controllo. I due campioni Confucio mostrato un comportamento completamente diverso - il malware richieste HTTP usato per siti Web legittimi, Yahoo e Quora. Entrambi i siti offrono Q&A sezioni.
Qual è la differenza tra il CONFUCIUS_A e CONFUCIUS_B?
L'Una variante stava accedendo una certa pagina Quora o Yahoo alla ricerca di due marcatori. Fra loro, c'erano 4 o più parole. I ricercatori hanno anche trovato una tabella di ricerca nel codice sorgente, consiste in 255 parole. Il numero è sufficiente a coprire i numeri compresi tra 1 e 255, i numeri utilizzati per blocchi di indirizzi IPv4.
La tabella di ricerca inizia con il marcatore per l'inizio e la fine del contenuto utile, e poi contiene 255 parole, ciascuno dei quali corrisponde a un numero (per esempio == prudente 255). Utilizzando questa tabella di ricerca nella memoria può quindi derivare l'indirizzo di comando e controllo dal testo tra i marcatori, “Riempire piastra strada intelligente” diventa 91.210.107[.]104.
CONFUCIUS_B stata osservata per distribuire un metodo simile, con la differenza che le parole rappresentano una cifra da 0 a 9. Il malware non ricostruire le IPv4 quattro blocchi principali, ma invece è stato individuando ogni cifra indirizzo IP.
Entrambi i campioni vengono distribuiti nelle campagne di spionaggio informatici. Tutte le aziende che osservate e analizzate le operazioni CONFICUIS, come ad esempio Palo Alto Networks, credono che l'operatore è probabilmente trova in India.
Trovare i dettagli più tecnici in rapporto di Palo Alto.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: