Threat Database Backdoors CrimsonIAS Backdoor

CrimsonIAS Backdoor

I ricercatori hanno scoperto una minaccia backdoor basata su New Delphi attiva almeno dal 2017. Se completamente distribuito, il malware consente agli aggressori di eseguire comandi arbitrari eseguendo strumenti della riga di comando, esfiltrato file selezionati o trascinando file aggiuntivi sulla macchina compromessa. L'analisi ha rivelato che la backdoor CrimsonIAS presenta un tratto peculiare che non si vede spesso tra questo tipo di malware: invece di agire come un faro simile alla maggior parte delle backdoor basate su Windows, la backdoor CrimsonIAS funziona solo in modalità di ascolto in attesa delle connessioni in entrata. Questo segnala che la macchina presa di mira deve essere aperta alla rete Internet pubblica o che gli aggressori hanno un altro modo per accedere alla rete della vittima.

Sebbene non siano sufficienti per fungere da prova solida, i ricercatori hanno scoperto che diverse caratteristiche del CrimsonIAS Backdoor sono simili agli aspetti dei campioni PlugX corrotti utilizzati nelle operazioni del gruppo di hacker Mustang Panda (noto anche come BRONZE PRESIDENT e RedDelta). Si ritiene che il gruppo sia un attore di spionaggio con sede in Cina che concentra le sue attività principalmente su obiettivi di Mongolia, Vietnam e Hong Kong. Tra i suoi obiettivi usuali figurano organizzazioni non governative (ONG), entità politiche e forze dell'ordine. Le tre principali somiglianze tra gli esempi CrimsonIAS Backdoor e MustangPanda PlugX sono l'uso della chiave XOR a 10 byte anteposta al binario crittografato, somiglianze shellcode nell'intestazione MZ e l'uso di una funzione caricatore esportata.

Gli hacker dietro CrimsonIAS Backdoor hanno introdotto costantemente nuove tecniche per le capacità della minaccia per tenere il passo con le tendenze moderne, sebbene il tasso di miglioramento non sia sufficiente per dire che CrimsonIAS Backdoor è ancora in fase di sviluppo attivo. Il cambiamento più grande può essere osservato nel modo in cui viene eseguito il codice danneggiato. Nelle versioni precedenti, la funzionalità backdoor veniva avviata tramite un servizio Windows registrato e avviata tramite una funzione esportata CPIApplet. Le versioni più recenti della minaccia si sono allontanate del tutto da quel metodo e ora utilizzano una tecnica di caricamento riflessivo, una funzionalità presente in diverse famiglie di malware.

Tendenza

I più visti

Caricamento in corso...