Threat Database Backdoors Backup Ransomware

Backup Ransomware

W ramach trwającej kampanii szpiegowskiej wymierzonej w podmioty w Azji Południowo-Wschodniej wykryto nowe zagrożenie typu backdoor. Szkodnik ten został nazwany Victory Backdoor przez badaczy, którzy przeanalizowali jego funkcjonalność. Zgodnie z ich ustaleniami, Victory Backdoor jest przeznaczony do zbierania informacji, przy jednoczesnym utrzymywaniu stałego kanału dostępu do zaatakowanych urządzeń. Funkcjonalność szkodliwego oprogramowania obejmuje wykonywanie dowolnych zrzutów ekranu, manipulowanie systemem plików – odczytywanie, zmienianie nazwy, tworzenie lub usuwanie plików na urządzeniu, pobieranie danych najwyższego poziomu z otwartych okien oraz wyłączanie komputera w razie potrzeby.

Lata rozwoju

Chociaż Victory Backdoor jest unikalnym zagrożeniem złośliwym oprogramowaniem, badaczom udało się odkryć znaczące podobieństwa między nim a plikami przesłanymi do VirusTotal w 2018 roku. Sposób implementacji funkcjonalności backdoora jest identyczny, ale na tym podobieństwa się nie kończą. Pliki nazwane MClient przez ich autora i backdoor Victory również używają tego samego formatu w swojej metodzie połączenia, a także mają identyczne klucze XOR. To

Szybko okazało się, że pliki MClient były wcześniejszymi testowymi wersjami szkodliwego oprogramowania, pokazując, że jego twórcy spędzili lata na jego opracowywaniu.

Wcześniejsze wersje zawierają rozszerzony zestaw nikczemnych funkcji. Na przykład posiadali funkcje keyloggera, czego brakuje w Victory Backdoor. Fakt ten doprowadził badaczy do wniosku, że hakerzy mogli zdecydować się na rozdzielenie możliwości swoich początkowych wersji złośliwego oprogramowania na kilka oddzielnych modułów. Takie postępowanie utrudnia wykrywanie, a jednocześnie utrudnia próby analizy. W związku z tym dodatkowe, jeszcze nieodkryte złośliwe moduły mogą z powodzeniem zostać wykorzystane do eskalacji ataków na wybrane cele.

Popularne

Najczęściej oglądane

Ładowanie...