DropBook Backdoor
Die DropBook Backdoor ist eine der beiden Backdoor-Bedrohungen, die von Hackern der MoleRats APT (Advanced Persistent Threat) gegen hochrangige politische Persönlichkeiten und Regierungsbeamte in Ägypten, den Palästinensischen Gebieten, der Türkei und den Vereinigten Arabischen Emiraten eingesetzt werden. MoleRats ist seit mindestens 2012 in Betrieb und zeigt anhaltendes Interesse an den Regionen Naher Osten und Nordafrika. Die Hacker stellen normalerweise Phishing-E-Mails bereit, in denen Dokumente verwendet werden, in denen wichtige Ereignisse in den ausgewählten Regionen besprochen werden, um Benutzer zum Herunterladen einer kompromittierten Datei zu verleiten.
Die DropBook Backdoor ist eine Python-basierte Bedrohung, die mit PyInstaller kompiliert wurde. Bei vollständiger Bereitstellung kann die Bedrohung beliebige Befehle ausführen, zusätzliche Programme abrufen und installieren und Nutzdaten bedrohen sowie von den Hackern bereitgestellte Shell-Befehle ausführen. Um zu bestätigen, dass ein geeignetes Ziel infiziert wird, überprüft das DropBook Backdoor das Vorhandensein der arabischen Sprache auf dem gefährdeten Computer. Ein weiterer Parameter, der die Initiierung der Backdoor verhindern kann, besteht darin, dass festgestellt wird, dass auf dem Ziel kein WinRAR installiert ist. Unter den zusätzlichen Nutzdaten, die von der DropBook Backdoor gelöscht werden, haben Infosec-Forscher das Quasar RAT -RAS-Framework entdeckt. Obwohl Quasar ein bedrohliches Tool ist, bietet es Cyberkriminellen eine einfache Möglichkeit, Routinen für Keylogging, Abhören und Datenerfassung auf dem infizierten System einzurichten.
Die MoleRats-Hacker haben den zunehmenden Trend unter den Bedrohungsakteuren, legitime Cloud-Dienste und soziale Plattformen als Teil der Command-and-Control-Struktur (C2, C & C) ihrer Malware-Kreationen schnell zu nutzen, berücksichtigt. In der Tat verwendet DropBook gefälschte Facebook-Konten oder Simmplenote als Kommunikationskanal mit dem C2. Gleichzeitig nutzt es Dropbox als Speicher für die gestohlenen Benutzerdaten und als Hosting-Service für die zusätzlichen Spionage-Nutzdaten.
