CONFUCIUS é um novo malware detectado por pesquisadores da Palo Alto Network. É um backdoor que mostra bastante criatividade do lado dos cibercriminosos. Os pesquisadores analisaram duas amostras do malware, retirado de duas campanhas separadas de espionagem cibernética.
No 2013, Rapid7 relatou uma série de ataques relativamente amadores contra alvos paquistaneses. Durante muito tempo após a publicação do relatório, pouco mudou na maneira como os atacantes operavam. Embora muitos dos ataques que vemos hoje do grupo permaneçam os mesmos, começamos a observar uma nova porta dos fundos, CONFUCIUS_A, sendo descartado pelos atacantes a partir do início 2014.
O malware criado por iniciantes ou amadores usa endereços IP codificados em seu código-fonte. Ameaças avançadas empregam algoritmo dinâmico de geração de nome de domínio (DGA) ocultar os endereços IP reais do servidor de comando e controle. As duas amostras do CONFUCIUS exibiram um comportamento completamente diferente - o malware usava solicitações HTTP para sites legítimos, Yahoo e Quora. Ambos os sites fornecem Q&Seções.
Qual é a diferença entre CONFUCIUS_A e CONFUCIUS_B?
A variante A estava acessando uma determinada página do Quora ou Yahoo em busca de dois marcadores. Entre eles, havia 4 ou mais palavras. Os pesquisadores também encontraram uma tabela de pesquisa no código fonte, consiste em 255 palavras. O número é suficiente para cobrir os números entre 1 e 255, os números empregados para blocos de endereços IPv4.
A tabela de pesquisa começa com o marcador para o início e o fim do conteúdo útil, e depois contém 255 palavras, cada um dos quais corresponde a um número (por exemplo prudente == 255). Usando esta tabela de pesquisa na memória, ela pode derivar o endereço de comando e controle do texto entre os marcadores, “Estrada inteligente” 91.210.107[.]104.
Observou-se que CONFUCIUS_B implantou um método semelhante, com a diferença de que as palavras representavam um dígito de 0 para 9. O malware não reconstruiu os quatro blocos principais do IPv4, mas localizou cada dígito de endereço IP.
Ambas as amostras são implantadas em campanhas de espionagem cibernética. Todas as empresas que observaram e analisaram as operações do CONFICUIS, como a Palo Alto Networks, Acreditamos que o operador provavelmente esteja localizado na Índia.
Encontre mais detalhes técnicos em Relatório de Palo Alto.