Sihost

Protesterne i Hong Kong har varet i lang tid nu, og den kinesiske regering ser ud til at miste sin tålmodighed og ty til nogle innovative teknikker. For nylig blev det afsløret, at Beijing havde ansat en trusselaktør til at målrette demonstranterne i Hong Kong. De målrettede demonstranter ville modtage en e-mail, der er maskeret som en besked fra en juridisk studerende fra Vesten. I meddelelsen foregiver angriberne at være interesseret i protesterne og beder modtageren om 'henstillinger om at afslutte Hong Kong-protesterne.' Angriberen ville vedhæfte tre filer til den falske e-mail - to ægte og en, der vises som en '. RTF 'dokument men er et'. LNK 'fil. Maskering af denne beskadigede fil som et harmløst dokument udføres ved hjælp af en dobbelt udvidelse, et temmelig gammelt, men effektivt trick.

Bruger en '.PNG' -fil, der er maskeret som et billede

Det '. LNK 'filer fungerer som et link, og i tilfælde af denne Beijing-kampagne,'. LNK 'fil fører til en' msiexec.exe 'fil, som er ægte. Det '. LNK '-fil, der er knyttet til den falske e-mail, skal udføre filen' msiexec.exe 'og få den til at downloade en fil fra GitHub. Den pågældende fil ser ud til at være en '. PNG '-billede, men det fungerer som en eksekverbar. Denne eksekverbare anvendes til at generere hundredevis af falske filer. Blandt dem er den indledende nyttelast, der er placeret i 'siHost64.'

Capabilities

Mappen% APPDATA% vil indeholde et Python-script kaldet 'siHost64.' Dette script er beregnet til:

• Få vedholdenhed ved at manipulere med Windows-registreringsdatabasen.
• Oprettelse af en forbindelse med angribernes C&C (Command & Control) server, der fungerer ved hjælp af DropBox API.
• Bruger C & C-serveren til at hente filer, der indeholder krypterede kommandoer. Ved dekryptering af kommandoerne udfører truslen dem. Resultaterne af disse handlinger gemmes i en ny krypteret fil. Truslen vil udfiltrere filen til C & C-serveren med jævne mellemrum.

I det væsentlige er Sihost-truslen et værktøj til spionage. Denne bagdør Trojan vil give dens operatører mulighed for at samle information fra den kompromitterede vært og overføre dem til angriberenes server.

Det er tydeligt, at Sihost-malware ikke er beregnet til at målrette tilfældige brugere. Denne trussel har et meget lavt infektionsforhold, og dens ofre ser ud til at være i den kinesiske region, hvilket har ført eksperter til at tro, at Sihost Trojan er blevet udviklet til udelukkende at henvende sig til Honk Kong-demonstranter. Truslen er meget veludviklet, og det er tydeligt, at erfarne cyberkriminelle har skabt Sihost-bagdør Trojan.