Новости Слитый исходный код Hive послужил основой новому бэкдору

NewsMaker

I'm just a script
Премиум
14,593
22
8 Ноя 2022

Хакеры использовали наработки ЦРУ, чтобы написать зловред покруче.​


45ykxdok8t5mi9pqywffxq1x7nnjnd8r.jpg


Неизвестные злоумышленники разработали новый Для просмотра ссылки Войди или Зарегистрируйся , функции которого позаимствовали у мультиплатформенного пакета вредоносных программ Для просмотра ссылки Войди или Зарегистрируйся , принадлежащего ЦРУ США. Исходный код Hive был опубликован WikiLeaks в ноябре 2017 года.

«Мы впервые встречаем в открытом доступе зловред на основе ЦРУ-шной Hive. Мы назвали его xdr33 в честь встроенного сертификата CN=xdr33», — сообщили Алекс Тьюринг и Хуэй Ван из сетевой лаборатории Для просмотра ссылки Войди или Зарегистрируйся в техническом отчете, опубликованном на прошлой неделе.

Сообщается, что xdr33 распространяется путем использования неуказанной уязвимости безопасности. Он взаимодействует с сервером контроля и управления (C2) по протоколу SSL, при помощи поддельных сертификатов «Лаборатории Касперского».


kio7642fxm9c6n232d5oj86c2akdub5i.png

Схема работы xdr33

Цель бэкдора, согласно отчёту Qihoo 360, состоит в том, чтобы собрать конфиденциальную информацию и подготовить почву для последующих атак. Хакеры нехило прокачали первоначальную структуру Hive, добавив в неё новых C2 инструкций и функций.

Рассмотренный исполняемый файл работает в том числе как маяк. Он периодически передаёт системные метаданные на удаленный сервер и выполняет команды, поступающие от C2.


6db84unvdym3tgkoncvsewkw5a8xcig4.png



iuph9glzw7fjvpc29bqak3ne3knx309a.png


Такая схема работы позволяет бэкдору производить полноценный обмен файлами, выполнять операции с командной строкой, запускать другие программы и даже стирать свои следы со скомпрометированного устройства.
 
Источник новости
www.securitylab.ru

Похожие темы