Maliciozna hakerska organizacija Konfučije otkrila je sofisticirano novo sajber oružje koje cilja vladine i vojne entitete širom Južne i Istočne Azije, prema nedavnim obavještajnim izvještajima.
Ova napredna grupa perzistentnih prijetnji, prvi put identifikovana 2016. godine, sa napadačkim aktivnostima koje datiraju još iz 2013. godine, značajno je razvila svoj arsenal maliciozna softvera uvođenjem komponentnog sistema backdoor-a nazvanog “anondoor”.
Najnovija kampanja predstavlja značajno povećanje tehničkih mogućnosti grupe, transformirajući njihove prethodno jednostavne trojance za preuzimanje u modularni backdoor okvir koji dinamički učitava maliciozne komponente sa servera za komandovanje i kontrolu.
Lanac napada počinje s LNK datotekom koja je oružje i preuzima više komponenti, uključujući glavni anondoor backdoor prerušen u python313.dll i legitimnu Python izvršnu datoteku koja služi kao mamac za učitavanje.
Istraživači Seebuga su primijetili da arhitektura malicioznog softvera pokazuje neviđenu sofisticiranost u tehnikama izbjegavanja, koristeći parametrizirani mehanizam komunikacije komandovanja i kontrole koji skriva pravu infrastrukturu od sigurnosnih analitičara.
Komponentni dizajn omogućava napadačima da selektivno implementiraju specifične mogućnosti na osnovu zahtjeva cilja, uključujući modul za eksfiltraciju podataka wooperstealer koji je integrisan kao komponenta za preuzimanje, a ne kao samostalna izvršna datoteka.
.webp)
Maliciozni softver uspostavlja perzistentnost putem zakazanih zadataka u Windowsu, kreirajući zadatak pod nazivom “SystemCheck” koji osigurava kontinuirano izvršavanje nakon ponovnog pokretanja sistema.
Obavještajne agencije su primijetile aktivne kampanje usmjerene na kritičnu infrastrukturu i odbrambene organizacije, pri čemu modularna priroda malicioznog softvera omogućava prilagođene napade na visokovrijedne ciljeve, a istovremeno održava operativnu sigurnost putem distribuisanog hostinga komponenti.
Trenutne stope detekcije antivirusnih programa ostaju efektivno nula zbog sofisticiranih mehanizama izbjegavanja sandboxa i dinamičke arhitekture učitavanja malicioznog softvera, što predstavlja značajne izazove za tradicionalna sigurnosna rješenja .
Komponentni pristup omogućava Konfucijevoj grupi da održi trajan pristup, a istovremeno minimizira svoj digitalni otisak i komplicira napore sigurnosnih istraživača u vezi s atribucijom.
Protokol za dinamičko učitavanje komponenti i komunikaciju
Anondoor backdoor implementira sofisticirani sistem orkestracije komponenti koji fundamentalno mijenja način na koji maliciozni softver funkcioniše u poređenju sa tradicionalnim monolitnim prijetnjama.
.webp)
Sistem koristi jedinstveni algoritam za generisanje UUID-a koji kombinuje hardverske otiske prstiju sa sistemskim informacijama kako bi se stvorila trajna identifikacija žrtve u svim infekcijama.
Maliciozni softver generiše ovaj identifikator koristeći podatke ACPI tabele, ime hosta i korisničko ime putem prilagođene funkcije hashiranja: –
public static string GetUUID()
{
string text = RetrieveAndPrintUUID();
string input = GetComputerName() + "{" + text + "}" + GetCurrentUserName();
return Hashuuid(input).ToString();
}Komunikacijski protokol koristi base64-enkodirane zahtjeve koji sadrže UUID žrtve i kontrolne naredbe, pri čemu server odgovara URL-ovima za preuzimanje komponenti i instrukcijama za izvršavanje formatiranim kao razgraničeni stringovi.
Ova arhitektura omogućava Konfučijevoj grupi da održi detaljnu kontrolu nad raspoređenim mogućnostima, a istovremeno značajno komplikuje forenzičku analizu i napore detekcije zasnovane na mreži.
Izvor: CyberSecurityNews