Threat Database Backdoors CrimsonIAS Backdoor

CrimsonIAS Backdoor

Een nieuwe op Delphi gebaseerde achterdeurbedreiging die actief is sinds ten minste 2017, is ontdekt door de onderzoekers. Als de malware volledig is geïmplementeerd, kunnen de aanvallers willekeurige opdrachten uitvoeren door opdrachtregelprogramma's uit te voeren, geselecteerde bestanden te exfiltreren of extra bestanden naar de besmette computer te slepen. Uit de analyse bleek dat de CrimsonIAS Backdoor een eigenaardige eigenschap vertoont die niet vaak wordt gezien bij dit soort malware - in plaats van te fungeren als een baken zoals de meeste op Windows gebaseerde achterdeuren, werkt de CrimsonIAS Backdoor alleen in luistermodus terwijl hij wacht op inkomende verbindingen. Dit geeft aan dat de beoogde machine open moet staan voor het openbare internet of dat de aanvallers een andere manier hebben om toegang te krijgen tot het netwerk van het slachtoffer.

Hoewel dit niet voldoende was om als solide bewijs te fungeren, ontdekten onderzoekers dat verschillende kenmerken van de CrimsonIAS Backdoor vergelijkbaar zijn met aspecten van beschadigde PlugX-samples die worden gebruikt bij de activiteiten van de hackergroep Mustang Panda (ook bekend als BRONZE PRESIDENT en RedDelta). Aangenomen wordt dat de groep een in China gevestigde spionage-actor is die zijn activiteiten voornamelijk concentreert op doelen in Mongolië, Vietnam en Hong Kong. Tot de gebruikelijke doelwitten behoren niet-gouvernementele organisaties (ngo's), politieke entiteiten en wetshandhavingsinstanties. De drie belangrijkste overeenkomsten tussen de CrimsonIAS Backdoor- en de MustangPanda PlugX-samples zijn het gebruik van een 10-byte XOR-sleutel die is toegevoegd aan de gecodeerde binaire, shellcode-overeenkomsten in de MZ-header en het gebruik van een geëxporteerde loader-functie.

De hackers achter de CrimsonIAS Backdoor hebben gestaag nieuwe technieken geïntroduceerd om de mogelijkheden van de dreiging bij te houden om gelijke tred te houden met moderne trends, hoewel de snelheid van verbetering niet voldoende is om te zeggen dat de CrimsonIAS Backdoor nog in actieve ontwikkeling is. De grootste verandering is te zien in de manier waarop de beschadigde code wordt uitgevoerd. In eerdere versies werd de achterdeurfunctionaliteit geïnitieerd via een Windows-service die werd geregistreerd en gestart via een door CPIApplet geëxporteerde functie. Nieuwere versies van de dreiging zijn helemaal van die methode afgeweken en maken nu gebruik van een reflectieve ladertechniek, een functie die in verschillende malwarefamilies voorkomt.

Trending

Meest bekeken

Bezig met laden...