CrimsonIAS Backdoor

Uma nova ameaça de backdoor baseada no Delphi que está ativa desde pelo menos 2017 foi descoberta pelos pesquisadores recntemente. Se totalmente implantado, o malware permite que os invasores executem comandos arbitrários ao executar ferramentas de linha de comando, exfiltrar arquivos selecionados ou soltar arquivos adicionais na máquina comprometida. A análise revelou que o CrimsonIAS Backdoor exibe uma característica peculiar que não é vista entre este tipo de malware - em vez de atuar como um beacon como a maioria dos backdoors baseados no Windows, o CrimsonIAS Backdoor funciona apenas no modo de escuta enquanto aguarda conexões de entrada. Isso sinaliza que a máquina visada deve ser aberta para a Internet pública ou que os invasores têm alguma outra maneira de acessar a rede da vítima.

Embora não seja o suficiente para atuar como evidência sólida, os pesquisadores descobriram que várias características do CrimsonIAS Backdoor são semelhantes a aspectos de amostras PlugX corrompidas usadas nas operações do grupo de hackers  (também conhecido como BRONZE PRESIDENT e RedDelta). Acredita-se que o grupo seja um ator de espionagem baseado na China que concentra suas atividades principalmente em alvos da Mongólia, Vietnã e Hong Kong. Entre sua gama usual de alvos estão organizações não governamentais (ONGs), entidades políticas e agências de aplicação da lei. As três principais semelhanças entre o CrimsonIAS Backdoor e as amostras do MustangPanda PlugX são o uso da chave XOR de 10 bytes anexada ao binário criptografado, semelhanças de código shell no cabeçalho MZ e o uso de uma função de carregador exportada.

Os hackers por trás do CrimsonIAS Backdoor têm introduzido novas técnicas nas capacidades da ameaça continuamente, para acompanhar as tendências modernas, embora a taxa de melhoria não seja suficiente para dizer que o CrimsonIAS Backdoor ainda está em desenvolvimento ativo. A maior mudança pode ser observada na forma como o código corrompido está sendo executado. Em versões anteriores, a funcionalidade backdoor era iniciada por meio de um serviço do Windows registrado e lançado por meio de uma função exportada CPIApplet. As versões mais recentes da ameaça se afastaram totalmente desse método e agora empregam uma técnica de carregador reflexivo, um recurso visto em várias famílias de malware.