Lightning Framework - это новый необнаруженный "швейцарский армейский нож", похожий на вредоносное ПО Linux, имеющий модульные плагины и возможность установки руткитов. Фреймворк имеет как пассивные, так и активные возможности для связи с субъектом угрозы, включая открытие SSH на зараженной машине, а также полиморфную изменяемую конфигурацию команд и управления.
Фреймворк состоит из загрузчика и основного модуля, а также ряда подключаемых модулей. Некоторые из плагинов, используемых вредоносной программой, являются инструментами с открытым исходным кодом. Чтобы остаться незамеченным, фреймворк активно использует опечатки и маскировку. Сетевое взаимодействие в модулях Core и Downloader осуществляется через TCP-сокеты. Данные структурированы в JSON. C2 хранится в полиморфно закодированном конфигурационном файле, который уникален для каждого отдельного создания. Это означает, что конфигурационные файлы невозможно обнаружить с помощью таких методов, как хэширование.
Indicators of Compromise
SHA256
- 48f9471c20316b295704e6f8feb2196dd619799edec5835734fc24051f45c5b7
- ad16989a3ebf0b416681f8db31af098e02eabd25452f8d781383547ead395237
- fd285c2fb4d42dde23590118dba016bf5b846625da3abdbe48773530a07bcd1e