Threat Database Backdoors 端口重用

端口重用

中国因其黑客团体而受欢迎。其中一些是按照自己的条件运作的,而其他一些则是由中国政府赞助的。 Winnti Group是中国最臭名昭著的黑客组织之一。它们也被称为APT41(高级持久威胁)。自2010年以来,它们就一直受到关注。Winnti Group以该APT开发的一种黑客工具Winnti恶意软件命名 。这种威胁使Winnti Group备受关注,并于2013年首次被发现。自从黑客组织由于Winnti恶意软件而获得一定的知名度以来,他们一直在开发新工具,其中之一就是PortReuse后门木马。

它偏爱隐身

大多数后门特洛伊木马程序都遵循相同的模式-它们是通过远程C&C(命令与控制)服务器进行操作的,并且往往具有很长的功能。但是,PortReuse木马不是这种情况。 Winnti集团似乎更喜欢隐身而不是功能。这就是为什么尽管如此,他们仍选择确保无法检测到威胁的原因,但这样做仍在破坏PortReuse后门特洛伊木马,这本来可能是更严重的威胁。 PortReuse木马的作者选择不使用C&C服务器来操作威胁,因为它可以被视为"太吵"。取而代之的是,他们利用局域网唤醒(也称为魔术包)来执行损坏的代码段。

默默经营

PortReuse木马操作员通过确保将其不安全活动留下的指纹最小化,将更多努力保持在较低水平。这是通过使用开放且活动的TCP端口来实现的。通过该端口,PortReuse木马会收到有问题的魔术网络数据包。看来作者在以下TCP端口上使用了不同的服务,例如53(DNS),80(HTTP),443(HTTPS),3389(RDP)和5985(WinRM)。

恶意软件研究人员通过解密用于构造Wake On-LAN数据包的威胁有害有效负载,成功跟踪了PortReuse木马背后参与者的IP地址。在研究发现的数据之后,网络安全专家推测Winnti集团可能正计划发动针对一家专门研究移动软件和生产移动硬件的亚洲公司的攻击。一些人认为,攻击可能包括多个阶段以及正在使用的不同黑客工具。

趋势

最受关注

正在加载...