CrimsonIAS Backdoor
Eine neue, auf Delphi basierende Backdoor-Bedrohung, die seit mindestens 2017 aktiv ist, wurde von den Forschern entdeckt. Bei vollständiger Bereitstellung der Malware können die Angreifer beliebige Befehle ausführen, indem sie Befehlszeilentools ausführen, ausgewählte Dateien exfiltrieren oder zusätzliche Dateien auf dem gefährdeten Computer ablegen. Die Analyse ergab, dass die CrimsonIAS-Backdoor eine besondere Eigenschaft aufweist, die bei dieser Art von Malware nicht zu finden ist. Anstatt wie die meisten Windows-basierten Backdoors als Beacon zu fungieren, wird die CrimsonIAS-Backdoor nur im Abhörmodus ausgeführt, da sie auf eingehende Verbindungen wartet. Dies signalisiert, dass der Zielcomputer für das öffentliche Internet geöffnet sein muss oder dass die Angreifer auf andere Weise auf das Netzwerk des Opfers zugreifen können.
Obwohl dies nicht ausreicht, um als solider Beweis zu dienen, stellten die Forscher fest, dass einige Merkmale der CrimsonIAS-Backdoor den Aspekten beschädigter PlugX-Proben ähneln, die im Betrieb der Hacker-Gruppe Mustang Panda (auch bekannt als BRONZE PRESIDENT und RedDelta) verwendet werden. Es wird angenommen, dass die Gruppe ein in China ansässiger Spionageschauspieler ist, der seine Aktivitäten hauptsächlich auf Ziele in der Mongolei, in Vietnam und in Hongkong konzentriert. Zu den üblichen Zielen zählen Nichtregierungsorganisationen (NRO), politische Einheiten und Strafverfolgungsbehörden. Die drei Hauptähnlichkeiten zwischen den CrimsonIAS Backdoor- und den MustangPanda PlugX-Proben sind die Verwendung eines 10-Byte-XOR-Schlüssels, der den verschlüsselten binären Shellcode-Ähnlichkeiten im MZ-Header vorangestellt ist, und die Verwendung einer exportierten Loader-Funktion.
Die Hacker hinter der CrimsonIAS-Backdoor haben die Fähigkeiten der Bedrohung stetig um neue Techniken erweitert, um mit den modernen Trends Schritt zu halten, obwohl die Verbesserungsrate nicht ausreicht, um zu sagen, dass sich die CrimsonIAS-Backdoor noch in der aktiven Entwicklung befindet. Die größte Änderung kann in der Art und Weise beobachtet werden, wie der beschädigte Code ausgeführt wird. In früheren Versionen wurde die Backdoor-Funktionalität über einen registrierten Windows-Dienst initiiert und über eine exportierte CPIApplet-Funktion gestartet. Neuere Versionen der Bedrohung haben sich vollständig von dieser Methode entfernt und verwenden jetzt eine Reflective Loader-Technik, eine Funktion, die in verschiedenen Malware-Familien zu finden ist.
