Sihost

Protesterna i Hong Kong har pågått länge nu, och den kinesiska regeringen verkar förlora sitt tålamod och ta till sig några innovativa tekniker. Nyligen avslöjades det att Peking hade anställt en hotaktör för att rikta demonstranterna i Hong Kong. De riktade demonstranterna skulle få ett e-postmeddelande som är maskerat som ett meddelande från en lagstudent från väst. I meddelandet låtsas angriparna att de är intresserade av protesterna och ber mottagaren om "rekommendationer för att avsluta Hong Kong-protesterna." Angriparna skulle bifoga tre filer till det bedrägliga e-postmeddelandet - två äkta och en som framträder som en '. RTF 'dokument men är ett'. LNK-fil. Maskera den skadade filen som ett ofarligt dokument görs med hjälp av en dubbel förlängning, ett ganska gammalt men effektivt trick.

Använder en ".PNG" -fil som är maskad som en bild

". LNK-filer fungerar som en länk, och i fallet med denna Peking-kampanj, '. LNK-fil leder till en 'msiexec.exe' -fil, som är äkta. ". LNK-filen som är kopplad till den falska e-postadressen måste köra filen 'msiexec.exe' och låta den ladda ner en fil från GitHub. Filen i fråga verkar vara en '. PNG '-bild, men den fungerar som en körbar. Denna körbara används för att generera hundratals falska filer. Bland dem är den initiala nyttolasten som finns i 'siHost64.'

Förmågor

Mappen% APPDATA% skulle innehålla ett Python-skript som heter 'siHost64.' Detta skript är avsett att:

  • Få uthållighet genom att manipulera med Windows-registret.
  • Upprätta en anslutning till angriparnas C&C (Command & Control) -server, som fungerar med hjälp av DropBox API.
  • Använder C & C-servern för att ta filer som innehåller krypterade kommandon. Vid dekryptering av kommandona kommer hotet att utföra dem. Resultaten av dessa åtgärder lagras i en ny krypterad fil. Hotet kommer att filtrera ut filen till C & C-servern med jämna mellanrum.

I huvudsak är Sihost-hotet ett verktyg för spionering. Denna bakdörr Trojan kommer att tillåta sina operatörer att samla information från den komprometterade värden och överföra den till angriparens server.

Det är tydligt att Sihost-skadlig programvara inte är avsett att rikta in sig på slumpmässiga användare. Detta hot har ett mycket lågt infektionsförhållande, och dess offer verkar befinna sig i den kinesiska regionen, vilket har fått experter att tro att Sihost Trojan har utvecklats för att uteslutande rikta sig mot Honk Kong-demonstranter. Hotet är mycket välutvecklat och det är uppenbart att erfarna cyberbrottslingar har skapat Sihost-bakdörren Trojan.

Trendigt

Mest sedda

Läser in...