Sihost

Mielenosoitukset Hongkongissa ovat kestäneet jo jonkin aikaa, ja Kiinan hallitus näyttää menettävän kärsivällisyyttään ja turvautuvan innovatiivisiin tekniikoihin. Äskettäin paljastettiin, että Peking oli palkannut uhka-näyttelijän kohdistamaan mielenosoittajia Hong Kongiin. Kohdennetut mielenosoittajat saavat sähköpostin, joka on peitetty viestinä länsimaista lakiopiskelijaa kohden. Viestissä hyökkääjät väittävät olevansa kiinnostuneita mielenosoituksista ja pyytäneet vastaanottajaa "suosituksiksi Hongkongin mielenosoitusten lopettamiseksi". Hyökkääjät liittäisivät kolme tiedostoa vilpilliseen sähköpostiosoitteeseen - kaksi aitoa ja yhden, joka näkyy '. RTF 'asiakirja, mutta on'. LNK-tiedosto. Tämän vioittuneen tiedoston peittäminen vaarattomaksi asiakirjaksi tehdään kaksoislaajennuksella, joka on melko vanha mutta tehokas temppu.

Käytä kuvana naamioitua .PNG-tiedostoa

". LNK-tiedostot toimivat linkkinä, ja tämän Pekingin kampanjan tapauksessa '. LNK-tiedosto johtaa 'msiexec.exe'-tiedostoon, joka on aito. ". Väärennettyyn sähköpostiosoitteeseen liitetyn LNK-tiedoston on suoritettava 'msiexec.exe'-tiedosto ja pyydettävä se lataamaan tiedosto GitHubista. Kyseinen tiedosto näyttää olevan '. PNG '-kuva, mutta se toimii suoritettuna. Tätä suoritettavaa tiedostoa käytetään satojen vääriä tiedostojen luomiseen. Niiden joukossa on alkuperäinen hyötykuorma, joka sijaitsee "siHost64" -sivustossa.

kyvyt

% APPDATA% -kansio sisältää Python-skriptin nimeltä 'siHost64.' Tämän komentosarjan on tarkoitus:

  • Hanki pysyvyys pelaamalla Windowsin rekisteriä.
  • Muodosta yhteys hyökkääjien C&C (Command & Control) -palvelimeen, joka toimii DropBox API: n avulla.
  • Käytä C&C-palvelinta tarttua tiedostoihin, jotka sisältävät salattuja komentoja. Kun komennot puretaan, uhka suorittaa ne. Näiden toimien tulokset tallennetaan uuteen salattuun tiedostoon. Uhka suodattaa tiedoston C&C-palvelimelle määräajoin.

Sihost-uhka on pohjimmiltaan vakoilun väline. Tämä takaoven troijalainen antaa operaattoreille mahdollisuuden kerätä tietoja vaarannetulta isännältä ja siirtää ne hyökkääjien palvelimelle.

On selvää, että Sihost-haittaohjelmaa ei ole tarkoitettu kohdentamaan satunnaisia käyttäjiä. Tällä uhalla on erittäin alhainen tartuntasuhde, ja sen uhrit näyttävät olevan Kiinan alueella, mikä on saanut asiantuntijat uskomaan, että Sihost-troijalainen on kehitetty kohdistamaan yksinomaan Honkongin mielenosoittajia. Uhka on erittäin hyvin kehittynyt, ja on selvää, että kokeneet verkkorikolliset ovat luoneet Sihostin takaoven troijalaisen.

Trendaavat

Eniten katsottu

Ladataan...