Sihost

Le proteste di Hong Kong durano da un po 'di tempo ormai e il governo cinese sembra perdere la pazienza e ricorrere ad alcune tecniche innovative. Di recente, è stato scoperto che Pechino aveva impiegato un attore di minaccia per colpire i manifestanti a Hong Kong. I manifestanti presi di mira avrebbero ricevuto un'e-mail mascherata come messaggio da uno studente di legge dall'ovest. Nel messaggio, gli aggressori fingono di essere interessati alle proteste e chiedono al destinatario "raccomandazioni per porre fine alle proteste di Hong Kong". Gli aggressori allegerebbero tre file all'e-mail fraudolenta: due autentici e uno che appare come '. RTF "documento ma è un". LNK 'file. Il mascheramento di questo file danneggiato come documento innocuo viene eseguito utilizzando una doppia estensione, un trucco piuttosto vecchio ma efficace.

Utilizza un file ".PNG" mascherato come immagine

Il '. I file di LNK fungono da link e, nel caso di questa campagna di Pechino, i ". Il file LNK 'porta a un file' msiexec.exe ', che è autentico. Il '. Il file LNK 'allegato all'email falsa deve eseguire il file' msiexec.exe 'e farlo scaricare da GitHub. Il file in questione sembra essere un '. Immagine PNG, ma funziona come un eseguibile. Questo eseguibile viene utilizzato per generare centinaia di file falsi. Tra questi c'è il payload iniziale che si trova in "siHost64".

funzionalità

La cartella% APPDATA% conterrebbe uno script Python chiamato 'siHost64.' Questo script ha lo scopo di:

• Ottieni persistenza manomettendo il registro di Windows.
• Stabilire una connessione con il server C&C (Command & Control) degli aggressori, che funziona con l'aiuto dell'API DropBox.
• Utilizza il server C&C per acquisire file contenenti comandi crittografati. Dopo aver decifrato i comandi, la minaccia li eseguirà. I risultati di queste azioni sono memorizzati in un nuovo file crittografato. La minaccia esfiltrerà periodicamente il file sul server C&C.

Nella sua essenza, la minaccia Sihost è uno strumento per spiare. Questo Trojan backdoor consentirà ai suoi operatori di raccogliere informazioni dall'host compromesso e trasferirle sul server degli aggressori.

È chiaro che il malware Sihost non è destinato agli utenti casuali. Questa minaccia ha un rapporto di infezione molto basso e le sue vittime sembrano essere nella regione cinese, il che ha portato gli esperti a credere che il Trojan Sihost sia stato sviluppato per colpire esclusivamente i manifestanti di Honk Kong. La minaccia è molto ben sviluppata ed è chiaro che i cyber criminali esperti hanno creato il trojan backdoor Sihost.