Threat Database Backdoors 端口重用

端口重用

中國因其黑客團體而受歡迎。有些以自己的方式運作,而另一些據信是由中國政府贊助的。 Winnti Group是中國最臭名昭著的黑客組織之一。它們也被稱為APT41(高級持久威脅)。自2010年以來,它們就一直受到關注。Winnti Group以該APT開發的一種黑客工具Winnti惡意軟件命名 。這種威脅使Winnti Group備受關注,並於2013年首次被發現。自從黑客組織由於Winnti惡意軟件而獲得一定的知名度以來,他們一直在開發新工具,其中之一就是PortReuse後門木馬。

它偏愛隱身

大多數後門特洛伊木馬程序都遵循相同的模式-它們是通過遠程C&C(命令與控制)服務器進行操作的,並且往往具有很長的功能。但是,PortReuse木馬不是這種情況。 Winnti集團似乎更喜歡隱身而不是功能。這就是為什麼儘管如此,他們仍然選擇確保確保未發現威脅的原因,因為這樣做還破壞了PortReuse後門特洛伊木馬程序,這本來可能是更嚴重的威脅。 PortReuse木馬的作者選擇不使用C&C服務器來操作威脅,因為它可以被視為"太吵"。取而代之的是,他們利用局域網喚醒(也稱為魔術包)來執行損壞的代碼段。

默默經營

PortReuse木馬操作員通過確保將其不安全活動留下的指紋最小化,將更多努力保持在較低水平。這是通過使用開放且活動的TCP端口來實現的。通過該端口,PortReuse木馬會收到有問題的魔術網絡數據包。看來作者在以下TCP端口上使用了不同的服務,例如53(DNS),80(HTTP),443(HTTPS),3389(RDP)和5985(WinRM)。

惡意軟件研究人員通過解密用於構造Wake On-LAN數據包的威脅有害負載,成功跟踪了PortReuse木馬背後的參與者的IP地址。在研究發現的數據之後,網絡安全專家推測Winnti集團可能正計劃發動針對亞洲公司的攻擊,該公司專門開發移動軟件並生產移動硬件。一些人認為,攻擊可能包括多個階段以及正在使用的不同黑客工具。

熱門

最受關注

加載中...