Victory Backdoor

En ny bagdørstrussel er blevet opdaget som en del af en igangværende spionagekampagne rettet mod enheder i Sydøstasien. Malwaren blev navngivet Victory Backdoor af forskerne, der analyserede dens funktionalitet. Ifølge deres fund er Victory Backdoor designet til at høste information, samtidig med at der opretholdes en konstant adgangskanal til de kompromitterede enheder. Malwarefunktionaliteten inkluderer optagelse af vilkårlige skærmbilleder, manipulering af filsystemet - læsning, omdøbning, oprettelse eller sletning af filer på enheden, sifon af topniveaudata fra åbnede vinduer og lukning af computeren, hvis det er nødvendigt.

År med udvikling

Mens Victory Backdoor er en unik malware-trussel, var forskerne i stand til at opdage betydelige overlapninger mellem den og filer, der blev sendt til VirusTotal tilbage i 2018. Den måde, bagdørfunktionaliteten implementeres på, er identisk effektivt, men lighederne stopper ikke der. Filerne navngivet MClient af deres forfatter og Victory bagdøren bruger også det samme format i deres forbindelsesmetode samt at have identiske XOR-nøgler. Det

Det blev hurtigt tydeligt, at MClient-filerne var tidligere testversioner af malware, der viste, at dets ondsindede skabere brugte år på dens udvikling.

De tidligere versioner inkluderer et udvidet sæt af skændige funktioner. For eksempel havde de keylogging-muligheder, noget der mangler i Victory Backdoor. Denne kendsgerning førte forskerne til den konklusion, at hackerne måske havde besluttet at opdele mulighederne i deres oprindelige malwareversioner i flere separate moduler. Dette gør detektering sværere, mens det også hæmmer analyseforsøg. Som sådan kan yderligere uopdagede ondsindede moduler meget godt bruges til at eskalere angrebene mod de valgte mål.