CONFUCIUS est un nouveau logiciel malveillant détecté par les chercheurs du réseau Palo Alto. Il est une porte dérobée qui affiche la créativité tout à fait du côté des cybercriminels. Les chercheurs ont analysé deux échantillons de logiciels malveillants, prise de deux campagnes d'espionnage cybernétique séparées.
Dans 2013, Rapid7 fait état d'une série d'attaques contre des cibles relativement amateurs pakistanais. Pendant longtemps après que le rapport a été publié, peu changé dans la façon dont les attaquants opérés. Bien que bon nombre des attaques que nous voyons aujourd'hui du groupe restent les mêmes, nous avons commencé à observer une nouvelle porte dérobée, CONFUCIUS_A, être abandonné par les attaquants commençant au début 2014.
Malware écrit par les débutants ou amateurs utilise des adresses IP dans son code codées en dur source. menaces avancées utilisent l'algorithme de génération de nom de domaine dynamique (DGA) pour cacher les adresses IP réelles de la commande et de contrôle du serveur. Les deux échantillons CONFUCIUS présentaient un comportement complètement différent - les requêtes HTTP vers des sites Web malveillants utilisés légitimes, Yahoo et Quora. Les deux sites offrent Q&A sections.
Quelle est la différence entre CONFUCIUS_A et CONFUCIUS_B?
La variante A accédait une certaine page Quora ou Yahoo à la recherche de deux marqueurs. Entre eux, Il y avait 4 ou plusieurs mots. Les chercheurs ont également trouvé une table de recherche dans le code source, consistant en 255 mots. Le nombre est suffisant pour couvrir les nombres entre 1 et 255, les numéros utilisés pour les blocs d'adresses IPv4.
La table de consultation commence avec le marqueur pour le début et la fin du contenu utile, et contient 255 mots, dont chacune correspond à un nombre (par exemple == prudent 255). En utilisant cette table de recherche dans la mémoire, il peut alors dériver l'adresse de commande et de contrôle du texte entre les marqueurs, « Remplir la route intelligente de la plaque » devient 91.210.107[.]104.
CONFUCIUS_B a été observée pour déployer une méthode similaire, avec la différence que les mots représentent un chiffre compris entre 0 à 9. Le logiciel malveillant n'a pas reconstruire les quatre blocs IPv4 mais au lieu a été de localiser chaque adresse IP chiffres.
Les deux échantillons sont déployés dans des campagnes d'espionnage cyber. Toutes les entreprises qui ont observé et analysé les opérations CONFICUIS, tels que Palo Alto Networks, croire que l'opérateur est probablement situé en Inde.
Consultez les détails plus techniques Le rapport de Palo Alto.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: