21 октября 2022 года система honeypot компании 360Netlab зафиксировала подозрительный ELF-файл ee07a74d12c0bb3594965b51d0e45b6f, распространяемый через уязвимость F5 и обнаруженный VT 0.
Система мониторинга трафика показала, что он генерировал SSL-трафик с IP 45.9.150.144 и что обе стороны использовали поддельные сертификаты Касперского, что вызвало беспокойство. После анализа 360Netlab подтвердили, что он был адаптирован из утечки исходного кода сервера проекта ЦРУ Hive. Это первый случай, когда 360Netlab поймали в дикой природе вариант атакующего пакета CIA HIVE, основанный на его встроенном сертификате Bot-side CN=xdr33, который 360Netlab назвали xdr33. В Интернете есть множество статей по анализу исходного кода проекта ЦРУ Hive, читатели могут сами обратиться к ним, поэтому мы не будем их здесь подробно рассматривать.
Подводя итог, можно сказать, что xdr33 - это троянский бэкдор, созданный в рамках проекта ЦРУ Hive, основной целью которого является сбор конфиденциальной информации и обеспечение плацдарма для последующих вторжений. В плане сетевого взаимодействия xdr33 использует алгоритмы XTEA или AES для шифрования необработанного трафика и SSL с включенным режимом аутентификации клиент-сертификата для дальнейшей защиты трафика; в плане функциональности у него есть две основные задачи: маяк и триггер, причем маяк - это периодическая передача данных. Маяк периодически сообщает конфиденциальную информацию об устройстве жестко закодированному Beacon C2 и выполняет его команды, а триггер отслеживает трафик сетевой карты для выявления специфических сообщений, скрывающих Trigger C2, и при получении таких сообщений устанавливает связь с Trigger C2 и ждет выполнения его команд.
Indicators of Compromise
IPv4 Port Combinations
- 45.9.150.144:443
MD5
- ee07a74d12c0bb3594965b51d0e45b6f
- af5d2dfcafbb23666129600f982ecb87