Victory Backdoor

Er is een nieuwe achterdeurdreiging gedetecteerd als onderdeel van een lopende spionagecampagne gericht op entiteiten in Zuidoost-Azië. De malware werd Victory Backdoor genoemd door de onderzoekers die de functionaliteit ervan analyseerden. Volgens hun bevindingen is de Victory Backdoor ontworpen om informatie te verzamelen en tegelijkertijd een constant toegangskanaal tot de aangetaste apparaten te behouden. De functionaliteit van de malware omvat het nemen van willekeurige schermafbeeldingen, het manipuleren van het bestandssysteem - lezen, hernoemen, maken of verwijderen van bestanden op het apparaat, het overhevelen van gegevens op het hoogste niveau uit geopende vensters en het indien nodig afsluiten van de computer.

Jaren van ontwikkeling

Hoewel de Victory Backdoor een unieke malwarebedreiging is, konden onderzoekers aanzienlijke overlappingen ontdekken tussen deze en bestanden die in 2018 bij VirusTotal waren ingediend. De manier waarop de backdoor-functionaliteit wordt geïmplementeerd, is effectief identiek, maar de overeenkomsten houden daar niet op. De bestanden met de naam MClient door hun auteur en de Victory-achterdeur gebruiken ook hetzelfde formaat in hun verbindingsmethode en hebben identieke XOR-sleutels. Het

Het werd al snel duidelijk dat de MClient-bestanden eerdere testversies van de malware waren, waaruit bleek dat de kwaadwillende makers jaren aan de ontwikkeling ervan besteedden.

De eerdere versies bevatten een uitgebreide reeks snode functionaliteiten. Ze beschikten bijvoorbeeld over keylogging-mogelijkheden, iets dat ontbreekt in Victory Backdoor. Dit feit leidde de onderzoekers tot de conclusie dat de hackers misschien besloten hebben om de mogelijkheden van hun oorspronkelijke malwareversies op te splitsen in verschillende afzonderlijke modules. Dit maakt detectie moeilijker en belemmert ook analysepogingen. Als zodanig zouden extra, tot nu toe onontdekte kwaadaardige modules heel goed kunnen worden gebruikt om de aanvallen op de gekozen doelen te escaleren.