CONFUCIUS is een nieuwe malware gedetecteerd door Palo Alto Networks onderzoekers. Het is een backdoor die helemaal de creativiteit aan de kant van de cybercriminelen 'weergeeft. De onderzoekers hebben twee exemplaren van de malware geanalyseerd, genomen uit twee afzonderlijke cyber spionage campagnes.
In 2013, Rapid7 gemeld op een reeks van relatief amateur-aanvallen op Pakistaanse doelen. Voor een lange tijd na het rapport werd gepubliceerd, weinig veranderd in de manier waarop de aanvallers bediend. Hoewel veel van de aanvallen die we vandaag zien uit de groep blijven hetzelfde, we begonnen met het observeren van een nieuwe backdoor, CONFUCIUS_A, wordt gedropt door de aanvallers vanaf begin 2014.
Malware geschreven door beginners of amateurs maakt gebruik van IP-adressen hardcoded in de broncode. Geavanceerde bedreigingen in dienst dynamische domeinnaam generatie algoritme (DGA) om het echte IP-adressen van de command and control-server te verbergen. De twee CONFUCIUS monsters getoond een heel ander gedrag - de malware gebruikte HTTP-verzoeken tot legitieme websites, Yahoo en Quora. Beide sites bieden Q&Een secties.
Wat is het verschil tussen CONFUCIUS_A en CONFUCIUS_B?
De A-variant werd de toegang tot een bepaalde Quora of Yahoo-pagina op zoek naar twee markers. Tussen hen, er waren 4 of meer woorden. Onderzoekers vonden ook een opzoektabel in de broncode, bestaande uit 255 tekst. Het aantal is voldoende om de nummers bedekken tussen 1 en 255, het aantal werknemers voor IPv4-adres blokken.
De opzoektabel begint met de markering voor het begin en einde van de nuttige inhoud, en bevat 255 tekst, die elk corresponderen met een aantal (bijvoorbeeld verstandig == 255). Met behulp van deze opzoektabel in het geheugen kan dan leiden de command and control-adres van de tekst tussen de markers, "Vullen plaat slimme road 'wordt 91.210.107[.]104.
CONFUCIUS_B werd waargenomen dat een soortgelijke methode implementeren, met het verschil dat woorden vertegenwoordigde een cijfer van 0 aan 9. De malware niet de IPv4 vier grote blokken te reconstrueren, maar in plaats daarvan werd het lokaliseren van elk IP-adres cijfer.
Beide monsters worden ingezet in cyber spionage campagnes. Alle bedrijven die CONFICUIS operaties geobserveerd en geanalyseerd, zoals Palo Alto Networks, geloven dat de gebruiker waarschijnlijk in India.
Vind meer technische details in verslag van Palo Alto's.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: