Sihost

De protesten in Hong Kong duren nu al een tijdje en de Chinese regering lijkt haar geduld te verliezen en haar toevlucht te nemen tot enkele innovatieve technieken. Onlangs werd ontdekt dat Beijing een acteur in dienst had genomen om zich op de demonstranten in Hong Kong te richten. De beoogde demonstranten zouden een e-mail ontvangen die wordt gemaskeerd als een bericht van een rechtenstudent uit het Westen. In het bericht doen de aanvallers alsof ze geïnteresseerd zijn in de protesten en vragen ze de ontvanger om 'aanbevelingen om de protesten in Hong Kong te beëindigen'. De aanvallers voegen drie bestanden toe aan de frauduleuze e-mail - twee echte e-mails en één die verschijnt als een '. RTF 'document maar is een'. LNK 'bestand. Dit beschadigde bestand maskeren als een onschadelijk document wordt gedaan met behulp van een dubbele extensie, een nogal oude maar effectieve truc.

Gebruikt een '.PNG'-bestand gemaskeerd als afbeelding

De '. De bestanden van LNK dienen als een link en in het geval van deze Beijing-campagne de '. LNK-bestand leidt naar een 'msiexec.exe'-bestand, dat echt is. De '. Het LNK-bestand dat is gekoppeld aan de valse e-mail moet het bestand 'msiexec.exe' uitvoeren en een bestand laten downloaden van GitHub. Het bestand in kwestie lijkt een 'te zijn. PNG 'image, maar het werkt als een uitvoerbaar bestand. Dit uitvoerbare bestand wordt gebruikt om honderden nepbestanden te genereren. Onder hen is de initiële payload die zich bevindt in 'siHost64.'

mogelijkheden

De map% APPDATA% zou een Python-script bevatten met de naam 'siHost64'. Dit script is bedoeld om:

• Krijg doorzettingsvermogen door te knoeien met het Windows-register.
• Breng een verbinding tot stand met de C&C (Command & Control) -server van de aanvaller, die werkt met behulp van de DropBox API.
• Gebruikt de C&C server om bestanden met gecodeerde opdrachten te pakken. Na het decoderen van de commando's zal de dreiging ze uitvoeren. De resultaten van deze acties worden opgeslagen in een nieuw gecodeerd bestand. De dreiging zal het bestand periodiek naar de C&C server exfiltreren.

In wezen is de Sihost-dreiging een hulpmiddel om te spioneren. Met deze Trojaanse achterdeur kunnen de operators informatie van de gecompromitteerde host verzamelen en naar de server van de aanvallers overbrengen.

Het is duidelijk dat de Sihost-malware niet bedoeld is om zich op willekeurige gebruikers te richten. Deze dreiging heeft een zeer lage infectieratio en de slachtoffers lijken in de Chinese regio te zijn, wat experts ertoe heeft gebracht te geloven dat de Sihost Trojan is ontwikkeld om uitsluitend Honk Kong-demonstranten te richten. De dreiging is zeer goed ontwikkeld en het is duidelijk dat ervaren cybercriminelen de Sihost-achterdeur-trojan hebben gecreëerd.