Hjem > Cyber ​​Nyheder > CONFUCIUS Malware Uses Quora and Yahoo Pages in Novel Attacks
CYBER NEWS

Confucius Malware Bruger Quora og Yahoo Sider i Novel angreb

malware-infektioner-stforum

Confucius er en ny malware opdaget af Palo Alto Network forskere. Det er en bagdør, der viser helt kreativiteten på cyberkriminelle side. Forskerne har analyseret to prøver af malware, taget fra to separate cyber spionage kampagner.

I 2013, Rapid7 rapporteret om en række relativt amatør angreb mod pakistanske mål. I lang tid efter, at rapporten blev offentliggjort, lidt ændret sig i, hvordan angriberne betjent. Selv om mange af angrebene vi ser i dag fra gruppen forbliver de samme, vi begyndte at observere en ny bagdør, CONFUCIUS_A, bliver droppet af angriberne, der starter i begyndelsen af 2014.

Relaterede: Top 5 Cyberkriminalitet Tendenser i 2016 Ifølge Europol

Malware skrevet af begyndere eller amatører bruger IP-adresser indkodet i sin kildekode. Avancerede trusler ansætte dynamisk domænenavn generation algoritme (DGA) at skjule den virkelige IP-adresserne for kommando og kontrol-server. De to Confucius prøver viste en helt anden adfærd - de malware brugte HTTP-anmodninger til legitime websteder, Yahoo og Quora. Begge steder giver Q&A sektioner.


Hvad er forskellen mellem CONFUCIUS_A og CONFUCIUS_B?

A variant blev adgang til en vis Quora eller Yahoo side i søgen efter to markører. Mellem dem, der var 4 eller flere ord. Forskerne fandt også en opslagstabel i kildekoden, bestående af 255 ord. Tallet er nok til at dække tallene mellem 1 og 255, antallet af beskæftigede for IPv4-adresse blokke.

Den opslagstabel begynder med markøren for begyndelsen og slutningen af ​​brugbart indhold, og derefter indeholder 255 ord, hver svarer til et antal (f.eks forsigtig == 255). Ved hjælp af denne opslagstabelnavn i hukommelsen kan derefter udlede kommando og kontrol-adresse fra teksten mellem markørerne, ”Fylde plade klog vej” bliver 91.210.107[.]104.

CONFUCIUS_B blev observeret at implementere en lignende fremgangsmåde, med den forskel, at ord repræsenterede et ciffer fra 0 til 9. Den malware ikke rekonstruere de IPv4 fire vigtigste blokke, men i stedet blev lokalisere hver IP-adresse ciffer.

Begge prøver er indsat i cyber spionage kampagner. Alle virksomheder, der observerede og analyserede CONFICUIS operationer, såsom Palo Alto Networks, mener, at operatøren er sandsynligvis placeret i Indien.

Find flere tekniske detaljer i Palo Alto rapport.

Milena Dimitrova

Milena Dimitrova

En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim

Flere indlæg

Følg mig:
Twitter

Efterlad en kommentar

Din e-mail-adresse vil ikke blive offentliggjort. Krævede felter er markeret *

Del på Facebook Del
Loading ...
Del på Twitter Tweet
Loading ...
Del på Google Plus Del
Loading ...
Del på Linkedin Del
Loading ...
Del på Digg Del
Del på Reddit Del
Loading ...
Del på Stumbleupon Del
Loading ...