Sofisticirani backdoor maliciozni softver pod nazivom “Squidoor” koji se postavlja od strane osumnjičenih kineskih pretnji protiv organizacija širom Južne Amerike i jugoistočne Azije.
Maliciozni softver, dizajniran za izuzetnu prikrivenost, nudi napadačima više metoda za održavanje trajnog pristupa kompromitovanim mrežama uz izbjegavanje otkrivanja od strane naprednih sigurnosnih sistema.
Početni pristup se dobija prvenstveno kroz iskorištavanje ranjivosti na serverima Internet Information Services (IIS), nakon čega slijedi implementacija višestrukih web ljuski koje služe kao trajna pozadinska vrata.
Ove web ljuske pokazuju značajne sličnosti u svojoj strukturi i tehnikama zamagljivanja, što ukazuje na zajedničko porijeklo.
Istraživači Palo Alto Networks-a su identifikovali da je Squidoor sofisticirani multi-platformski backdoor napravljen posebno da radi neotkriveno u visoko nadgledanim i zaštićenim mrežama.
.webp)
Maliciozni softver postoji i u Windows i u Linux varijanti, demonstrirajući posvećenost hakera da kompromituje različita okruženja bez obzira na operativni sistem.
Tehnička sofisticiranost Squidoora posebno je vidljiva u njegovim komunikacijskim mehanizmima.
Windows verzija podržava deset različitih protokola za komunikaciju i kontrolu (C2), dok Linux verzija podržava devet.
.webp)
Ove metode uključuju komunikaciju zasnovanu na HTTP-u, obrnute TCP/UDP veze, DNS tuneliranje, pa čak i Microsoft Outlook mail API komunikaciju, omogućavajući napadačima da se prilagode različitim mrežnim okruženjima i sigurnosnim kontrolama.
“Haker je pohranio neke od web shell-ova na bashupload.com i preuzeo ih i dekodirao koristeći certutil”, navodi se u izvještaju istraživanja.
Napadači su zatim koristili curl i Imppacket za širenje web shell-ova na različite servere unutar kompromitovanih mreža.
Outlook transportni kanal: prikriveni komunikacijski vektor
Možda najinovativniji aspekt Squidoor-a je njegova sposobnost da iskoristi Microsoft Outlook kao prikriveni komunikacijski kanal.
.webp)
Kada je konfigurisan za korištenje ove metode, maliciozni softver se prijavljuje na Microsoft-ovu platformu identiteta pomoću tvrdo kodiranog tokena za osvježavanje.
Zatim postavlja upite u mapu nacrta u Outlooku, tražeći e-poruke s određenim obrascima naslova koji sadrže nasumično generiše brojeve koji pomažu u razlikovanju različitih Squidoor implantata.
Tok komunikacije uključuje sofisticirane tehnike kodiranja i šifrovanja.
Sadržaj e-pošte prolazi kroz više faza obrade: transformaciju pomoću CryptStringToBinaryA WinAPI, Base64 dekodiranje, kombinaciju AES i prilagođenog XOR dešifrovanja i konačno zlib dekompresiju.
Ovaj demaskirani sadržaj pruža komande za Squidoor koje treba izvršiti, u rasponu od izviđanja do ubrizgavanja korisnog opterećenja.
Za postojanost, Squidoor kreira zakazani zadatak pod nazivom “Microsoft\Windows\AppID\EPolicyManager” koji izvršava maliciozni shellcode u redovnim intervalima, osiguravajući da backdoor ostane aktivan čak i nakon ponovnog pokretanja sistema.
Maliciozni softver također može ubrizgati dodatne korisne podatke u legitimne procese kao što su mspaint.exe, conhost.exe i taskhostw.exe kako bi dodatno prikrio svoje aktivnosti.
Izvor: CyberSecurityNews