Sihost

A hongkongi tüntetések már jó ideje tartanak, és úgy tűnik, hogy a kínai kormány elveszíti türelmét és valamilyen innovatív technikát alkalmaz. Nemrégiben felfedezték, hogy Peking fenyegető szereplőt alkalmazott Hongkongban a tüntetők ellen. A célzott tüntetők e-mailt kapnak, amelyet üzenetként maszkolnak egy nyugati jogi hallgatótól. Az üzenetben a támadók úgy tesznek, mintha érdeklődnének a tüntetések iránt, és kérik a címzettet, hogy „ajánlásokat kérjen a hongkongi tüntetések lezárására”. A támadók három fájlt csatolnának a csaló e-mailhez - kettőt valódihoz, és egyet, amely ". RTF 'dokumentum, de'. LNK ”fájl. A sérült fájl ártalmatlanmá tétele maszkolására dupla kiterjesztés, egy meglehetősen régi, de hatékony trükk használatával kerül sor.

Képként maszkolt '.PNG' fájlt használ

Az '. Az LNK „fájljai hivatkozásként szolgálnak, és e pekingi kampány esetén a”. Az LNK fájl egy eredeti msiexec.exe fájlt eredményez, amely eredeti. Az '. A hamis e-mailhez csatolt LNK fájlnak végre kell hajtania az 'msiexec.exe' fájlt, és le kell töltenie egy fájlt a GitHubból. Úgy tűnik, hogy a kérdéses fájl '. PNG 'kép, de futtathatóként működik. Ez a végrehajtható fájl több száz hamis fájl létrehozására szolgál. Közöttük a kezdeti hasznos teher, amely az „siHost64” -ban található.

képességek

A% APPDATA% mappa Python parancsfájlt tartalmazna, melynek neve „siHost64”. A szkript célja:

• Növelje a kitartást a Windows beállításjegyzék megsértésével.
• Hozzon létre kapcsolatot a támadók C&C (Command & Control) szerverével, amely a DropBox API segítségével működik.
• A C&C szervert titkosított parancsokat tartalmazó fájlok megragadására használja. A parancsok visszafejtésekor a fenyegetés végrehajtja azokat. Ezen műveletek eredményeit egy új titkosított fájl tárolja. A fenyegetés miatt a fájlt rendszeresen kiszűrjük a C&C szerverre.

Lényegében a Sihost-fenyegetés a kémkedés eszköze. Ez a hátsó ajtó trójai lehetővé teszi az üzemeltetők számára, hogy információkat gyűjtsenek a veszélyeztetett gazdagépről, és továbbítsák azokat a támadók szerverére.

Nyilvánvaló, hogy a Sihost malware nem célja véletlenszerű felhasználók megcélzása. Ennek a fenyegetésnek nagyon alacsony a fertőzési aránya, és áldozatai úgy tűnik, hogy a kínai régióban vannak, ami arra késztette a szakértőket, hogy úgy vélik, hogy a Sihost trójai kizárólag a Honkong-i tüntetők célpontjára fejlesztették ki. A veszély nagyon jól kidolgozott, és egyértelmű, hogy a tapasztalt számítógépes bűnözők létrehozták a Sihost hátsó ajtó trójai.