ИБ исследователи из Palo Alto Network обнаружили интересный образец вредоносного ПО, используемого в двух различных шпионских кампаниях.
В исследовании говорится о бэкдоре CONFUCIUS_A, детектируемом с начала 2014 года. Особенностью находки является способ генерации IP-адреса C&C-сервера, к которому подключаются боты.
Обычно дешевое вредоносное ПО использует жестко прописанные в коде IP-адреса, более дорогой софт генерирует IP-адреса C&C-серверов с помощью сложных алгоритмов генерации доменных имен. Однако CONFUCIUS_A не генерировал трафик на известные вредоносные IP и не использовал сложные алгоритмы генерации доменных имен. Анализ передаваемых с зараженных систем данных не показывал никакой аномалии. Исследователи могли наблюдать лишь обычный HTTP-трафик к популярным сайтам.
Внимательное исследование деятельности вредоноса показало, злоумышленники использовали Q&A секции на сайтах Yahoo и Quora для передачи инструкций ботам. Первый вариант вредоноса искал 2 маркера на Q&A-страницах на сайтах Yahoo и Quora. Между двумя маркерами присутствовало 4 или более слова. Вредонос сканировал содержимое страницы, выбирал все слова между двумя маркерами и конвертировал их в IP-адрес, используя таблицу соответствий слов цифрам.
На скриншоте ниже показан текст, анализируемый вредоносом. Маркеры в тексте: "suggested options are" и "hope it will help". Текст между маркерами: "fill plate clever road" конвертируется вредоносном в IP-адрес 91.210.107.104.
Второй образец - CONFUCIUS_B, действовал по такому же принципу, однако использовал немного другой алгоритм преобразования слов в цифры.
CONFUCIUS_A – вредонос, используемый в атаках на ресурсы госорганов Пакистана в 2013 году. CONFUCIUS_B – более новый образец вредоносного ПО, используемый в целевых атаках хакерской группировкой Patchwork. ИБ-компании, исследовавшие оба инцидента, полагают, что злоумышленники действуют с территории Индии.
