Accueil > Nouvelles Cyber > CONFUCIUS Malware Uses Quora and Yahoo Pages in Novel Attacks
CYBER NOUVELLES

CONFUCIUS Malware utilise Quora et Yahoo Pages dans les attaques nouveaux

malware-infections stforum

CONFUCIUS est un nouveau logiciel malveillant détecté par les chercheurs du réseau Palo Alto. Il est une porte dérobée qui affiche la créativité tout à fait du côté des cybercriminels. Les chercheurs ont analysé deux échantillons de logiciels malveillants, prise de deux campagnes d'espionnage cybernétique séparées.

Dans 2013, Rapid7 fait état d'une série d'attaques contre des cibles relativement amateurs pakistanais. Pendant longtemps après que le rapport a été publié, peu changé dans la façon dont les attaquants opérés. Bien que bon nombre des attaques que nous voyons aujourd'hui du groupe restent les mêmes, nous avons commencé à observer une nouvelle porte dérobée, CONFUCIUS_A, être abandonné par les attaquants commençant au début 2014.

en relation: Haut 5 Cybercriminalité Tendances dans 2016 Selon Europol

Malware écrit par les débutants ou amateurs utilise des adresses IP dans son code codées en dur source. menaces avancées utilisent l'algorithme de génération de nom de domaine dynamique (DGA) pour cacher les adresses IP réelles de la commande et de contrôle du serveur. Les deux échantillons CONFUCIUS présentaient un comportement complètement différent - les requêtes HTTP vers des sites Web malveillants utilisés légitimes, Yahoo et Quora. Les deux sites offrent Q&A sections.


Quelle est la différence entre CONFUCIUS_A et CONFUCIUS_B?

La variante A accédait une certaine page Quora ou Yahoo à la recherche de deux marqueurs. Entre eux, Il y avait 4 ou plusieurs mots. Les chercheurs ont également trouvé une table de recherche dans le code source, consistant en 255 mots. Le nombre est suffisant pour couvrir les nombres entre 1 et 255, les numéros utilisés pour les blocs d'adresses IPv4.

La table de consultation commence avec le marqueur pour le début et la fin du contenu utile, et contient 255 mots, dont chacune correspond à un nombre (par exemple == prudent 255). En utilisant cette table de recherche dans la mémoire, il peut alors dériver l'adresse de commande et de contrôle du texte entre les marqueurs, « Remplir la route intelligente de la plaque » devient 91.210.107[.]104.

CONFUCIUS_B a été observée pour déployer une méthode similaire, avec la différence que les mots représentent un chiffre compris entre 0 à 9. Le logiciel malveillant n'a pas reconstruire les quatre blocs IPv4 mais au lieu a été de localiser chaque adresse IP chiffres.

Les deux échantillons sont déployés dans des campagnes d'espionnage cyber. Toutes les entreprises qui ont observé et analysé les opérations CONFICUIS, tels que Palo Alto Networks, croire que l'opérateur est probablement situé en Inde.

Consultez les détails plus techniques Le rapport de Palo Alto.

Milena Dimitrova

Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim

Plus de messages

Suivez-moi:
Gazouillement

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

Partager sur Facebook Partager
Loading ...
Partager sur Twitter Tweet
Loading ...
Partager sur Google Plus Partager
Loading ...
Partager sur Linkedin Partager
Loading ...
Partager sur Digg Partager
Partager sur Reddit Partager
Loading ...
Partager sur Stumbleupon Partager
Loading ...