DropBook Backdoor

DropBook Backdoor er en af de to bagdørstrusler, der er løftestang mod højtstående politiske personer og regeringsembedsmænd i Egypten, de palæstinensiske territorier, Tyrkiet og De Forenede Arabiske Emirater af hackere fra MoleRats APT (Advanced Persistent Threat). Operativt siden mindst 2012 har MoleRats vist varig interesse i Mellemøsten og Nordafrika. Hackerne distribuerer normalt phishing-e-mails, der bruger dokumenter, der diskuterer vigtige begivenheder i de valgte regioner, som et lokke, der nar brugerne til at downloade en kompromitteret fil.

DropBook Backdoor er en Python-baseret trussel udarbejdet med brugen af PyInstaller. Når den er fuldt implementeret, kan truslen udføre vilkårlige kommandoer, hente og installere yderligere programmer og truende nyttelast, udføre shell-kommandoer leveret af hackerne. For at bekræfte, at det inficerer et passende mål, udfører DropBook Backdoor en kontrol for tilstedeværelsen af det arabiske sprog på den kompromitterede computer. En anden parameter, der kan forhindre bagdøren i at starte, er, hvis den opdager, at der ikke er nogen WinRAR installeret på målet. Blandt de ekstra nyttelast, der blev droppet af DropBook Backdoor, opdagede infosec-forskere Quasar RAT -fjernadgangsrammen. Selvom Quasar er et truende værktøj, tilbyder det cyberkriminelle en nem måde at etablere keylogging, aflytning og datahøstningsrutiner på det inficerede system.

MoleRats-hackerne har indarbejdet den stigende tendens blandt trusselaktører om at bruge legitime cloudtjenester og sociale platforme som en del af Command-and-Control (C2, C&C) -strukturen i deres malwareoprettelser hurtigt. Faktisk anvender DropBook falske Facebook-konti eller Simmplenote som en kommunikationskanal med C2. Samtidig udnytter den Dropbox som lager til stjålne brugerdata og som en hostingtjeneste til de ekstra spionage-nyttelast.