Sihost

Protesty w Hongkongu trwają już od dłuższego czasu, a chiński rząd wydaje się tracić cierpliwość i stosować innowacyjne techniki. Niedawno odkryto, że Pekin zatrudnił aktora grożącego do atakowania protestujących w Hongkongu. Wybrani protestujący otrzymają wiadomość e-mail zamaskowaną jako wiadomość od studenta prawa z Zachodu. W wiadomości napastnicy udają, że są zainteresowani protestami, i proszą odbiorcę o „zalecenia zakończenia protestów w Hongkongu”. Atakujący dołączą do fałszywej wiadomości e-mail trzy pliki - dwa oryginalne i jeden wyświetlany jako „. RTF „dokument, ale jest”. Plik LNK. Maskowanie tego uszkodzonego pliku jako nieszkodliwego dokumentu odbywa się za pomocą podwójnego rozszerzenia, dość starej, ale skutecznej sztuczki.

Używa pliku „.PNG” zamaskowanego jako obraz

„. Pliki LNK służą jako link, aw przypadku tej kampanii w Pekinie „. Plik LNK prowadzi do oryginalnego pliku „msiexec.exe”. „. Plik LNK dołączony do fałszywej wiadomości e-mail musi wykonać plik „msiexec.exe” i pobrać plik z GitHub. Plik, o którym mowa, wygląda na „”. Obraz PNG, ale działa jako plik wykonywalny. Ten plik wykonywalny służy do generowania setek fałszywych plików. Wśród nich jest początkowa ładowność, która znajduje się w „siHost64”.

Możliwości

Folder% APPDATA% zawierałby skrypt Pythona o nazwie „siHost64”. Ten skrypt ma na celu:

  • Zyskaj trwałość, manipulując przy rejestrze systemu Windows.
  • Nawiąż połączenie z serwerem C&C (Command & Control) atakującego, który działa za pomocą interfejsu API DropBox.
  • Używa serwera C&C do pobierania plików zawierających zaszyfrowane polecenia. Po odszyfrowaniu poleceń zagrożenie je wykona. Wyniki tych działań są przechowywane w nowym zaszyfrowanym pliku. Zagrożenie będzie okresowo przenosić plik na serwer kontroli.

Zasadniczo zagrożenie Sihost jest narzędziem do szpiegowania. Trojan ten umożliwia swoim operatorom zbieranie informacji z zainfekowanego hosta i przesyłanie ich na serwer atakujących.

Oczywiste jest, że złośliwe oprogramowanie Sihost nie jest przeznaczone do atakowania losowych użytkowników. Zagrożenie to ma bardzo niski wskaźnik infekcji, a jego ofiary wydają się znajdować w chińskim regionie, co doprowadziło ekspertów do przekonania, że trojan Sihost został opracowany wyłącznie z myślą o protestujących w Honk Kongu. Zagrożenie jest bardzo dobrze rozwinięte i jasne jest, że doświadczeni cyberprzestępcy stworzyli trojana backdoor Sihost.

Popularne

Najczęściej oglądane

Ładowanie...