Sihost

Protestene i Hong Kong har vart i en god stund nå, og det ser ut til at den kinesiske regjeringen mister tålmodigheten og tyr til noen innovative teknikker. Nylig ble det avdekket at Beijing hadde ansatt en trusselaktør for å målrette demonstrantene i Hong Kong. De målrettede demonstrantene ville motta en e-post som er maskert som en melding fra en jusstudent fra Vesten. I meldingen later angriperne til å være interessert i protestene og ber mottakeren om 'anbefalinger om å avslutte Hong Kong-protestene.' Angriperne ville knytte tre filer til den uredelige e-posten - to ekte og en som fremstår som en '. RTF 'dokument, men er et'. LNK 'fil. Maskering av denne ødelagte filen som et ufarlig dokument gjøres ved å bruke en dobbel utvidelse, et ganske gammelt, men effektivt triks.

Bruker en '. PNG' -fil maskert som et bilde

The '. LNK 'filer fungerer som en lenke, og i tilfelle av denne Beijing-kampanjen,'. LNK-fil fører til en 'msiexec.exe' -fil, som er ekte. The '. LNK-filen som er knyttet til den falske e-postadressen, må kjøre 'msiexec.exe' -filen og få den til å laste ned en fil fra GitHub. Den aktuelle filen ser ut til å være en '. PNG 'image, men det fungerer som en kjørbar. Denne kjørbare brukes til å generere hundrevis av falske filer. Blant dem er den første nyttelasten som ligger i 'siHost64.'

Capabilities

Mappen% APPDATA% vil inneholde et Python-skript kalt 'siHost64.' Dette skriptet er ment å:

• Få utholdenhet ved å tukle med Windows-registeret.
• Opprett en forbindelse med angripernes C & C (Command & Control) server, som opererer ved hjelp av DropBox API.
• Bruker C & C-serveren for å hente filer som inneholder krypterte kommandoer. Ved dekryptering av kommandoene vil trusselen utføre dem. Resultatene fra disse handlingene lagres i en ny kryptert fil. Trusselen vil filtrere filen til C & C-serveren med jevne mellomrom.

I sin essens er Sihost-trusselen et verktøy for å spionere. Denne bakdør Trojan vil tillate sine operatører å samle informasjon fra den kompromitterte verten og overføre den til angriperens server.

Det er tydelig at Sihost-malware ikke er ment å målrette tilfeldige brukere. Denne trusselen har et veldig lavt smitteforhold, og det ser ut til at ofrene befinner seg i den kinesiske regionen, noe som har ført til at eksperter har tro på at Sihost Trojan er utviklet for å utelukkende målrette Honk Kong-demonstranter. Trusselen er veldig godt utviklet, og det er tydelig at erfarne nettkriminelle har skapt Sihost bakdør Trojan.