Вредонос использует сайты Yahoo и Quora для получения адреса C&C-сервера
ИБ исследователи из Palo Alto Network обнаружили интересный образец вредоносного ПО, используемого в двух различных шпионских кампаниях. В исследовании говорится о бэкдоре CONFUCIUS_A, детектируемом с начала 2014 года.
Особенностью находки является способ генерации IP-адреса C&C-сервера, к которому подключаются боты. Обычно дешевое вредоносное ПО использует жестко прописанные в коде IP-адреса, более дорогой софт генерирует IP-адреса C&C-серверов с помощью сложных алгоритмов генерации доменных имен.
Однако CONFUCIUS_A не генерировал трафик на известные вредоносные IP и не использовал сложные алгоритмы генерации доменных имен. Анализ передаваемых с зараженных систем данных не показывал никакой аномалии. Исследователи могли наблюдать лишь обычный HTTP-трафик к популярным сайтам.
Внимательное исследование деятельности вредоноса показало, злоумышленники использовали Q&A секции на сайтах Yahoo и Quora для передачи инструкций ботам. Первый вариант вредоноса искал 2 маркера на Q&A-страницах на сайтах Yahoo и Quora. Между двумя маркерами присутствовало 4 или более слова. Вредонос сканировал содержимое страницы, выбирал все слова между двумя маркерами и конвертировал их в IP-адрес, используя таблицу соответствий слов цифрам.
На скриншоте ниже показан текст, анализируемый вредоносом.
Маркеры в тексте: "suggested options are" и "hope it will help". Текст между маркерами: "fill plate clever road" конвертируется вредоносном в IP-адрес 91.210.107.104.
Второй образец - CONFUCIUS_B, действовал по такому же принципу, однако использовал немного другой алгоритм преобразования слов в цифры.
CONFUCIUS_A – вредонос, используемый в атаках на ресурсы госорганов Пакистана в 2013 году. CONFUCIUS_B – более новый образец вредоносного ПО, используемый в целевых атаках хакерской группировки Patchwork.
ИБ-компании, исследовавшие оба инцидента, полагают, что злоумышленники действуют с территории Индии.
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш