Команда Stairwell Threat Research недавно выявила различные инструменты, использовавшиеся во вторжениях ChamelGang, сложного агента угроз, связанного с Китаем. Ранее ChamelGang была замечена в атаках на энергетические, авиационные и правительственные организации в России, США, Японии, Турции, Тайване, Вьетнаме, Индии, Афганистане, Литве и Непале.
Оригинальный отчет, опубликованный Positive Technologies, в основном посвящен набору инструментов группы для Windows. Обзор инструментов, недавно выявленных Stairwell's Threat Research, показал, что эта группа также посвятила значительное время и усилия исследованию и разработке не менее надежного набора инструментов для вторжений в Linux. Одним из таких примеров является ChamelDoH, имплант на C++, разработанный для передачи данных через туннелирование DNS-over-HTTPS (DoH).
Образец 34c19cedffe0ee86515331f93b130ede89f1773c3d3a2d0e9c7f7db8f6d9a0a7 представляет собой большой двоичный файл C++, предназначенный для удаленного доступа к системе, на которую он установлен, и взаимодействующий с настроенной командно-контрольной (C2) инфраструктурой посредством DoH-туннелирования.
Образец использует модифицированный алфавит base64 для кодирования своих сообщений в виде поддоменов для вредоносного сервера имен, контролируемого агентом. Имплант собирает различные части системной информации для составления профиля зараженной машины и способен выполнять основные операции удаленного доступа, такие как загрузка, скачивание, удаление и выполнение файлов.
Indicators of Compromise
Domains
- ns1.marocfamily.com
- ns1.marocfamilym.com
- ns1.marocfamilyx.com
- ns1.spezialsex.com
- ns2.marocfamily.com
- ns2.spezialsex.com
- ns30.mayashopping.net
- ns31.mayashopping.net
SHA256
- 34c19cedffe0ee86515331f93b130ede89f1773c3d3a2d0e9c7f7db8f6d9a0a7
- 4fd1515bfb5cf7a928acfacabe9d6b5272c036def898d1de3de7659f174475e0
- 6a26367b905fb1a8534732746fa968e3282d065e13267d459770fe0ec9f101fe
- 70e845163ee46100f93633e135a7ca4361a0d7bc21030bc200d45bb14756f007
- 92c9fd3f81da141460a8e9c65b544425f2553fa828636daeab8f3f4f23191c5b
- a0bd3b9a008089903c8653d0fcbc16e502da08eb2e77211473d0dfdec2cce67c
- b893445ae388af7a5c8b398edf98cfb7acd191fb7c2e12c7d3b2d82ee8611b1a
- de2c8264c0378f651f607ef5d0b93aca5760d370d5fed562e784ce5404bbc1a9
- e41a5e84d19f9e45972f497270133167669052ad6f11e7a16e832cf1de59da7d
- fe68af66cd9bc02de1221765d793637d27856fcaa632fabb81e805d2a2862b72