Группа хакеров Confucius, известная своими атаками на государственные и военные структуры Южной и Восточной Азии, продолжает совершенствовать свои инструменты. Недавно команда Knownsec 404 Advanced Threat Intelligence обнаружила новый образец вредоносного ПО, используемого этой группировкой. Этот инструмент, получивший название Anondoor, представляет собой модульный бэкдор, который загружает дополнительные компоненты, включая уже известный похититель данных Wooperstealer.
Описание
Аналитики отмечают, что Confucius активно развивает свои методы атак, переходя от простых загрузчиков к более сложным модульным системам. В отличие от предыдущих версий, где механизмы персистенции (обеспечения долговременного присутствия в системе) реализовывались на начальных этапах атаки, в Anondoor эта функциональность перенесена непосредственно в бэкдор. Это усложняет обнаружение и удаление вредоносного кода.
Одной из ключевых особенностей нового бэкдора является его модульная архитектура. Все дополнительные функции, включая сбор данных и кражу информации, загружаются с серверов злоумышленников по мере необходимости. Это позволяет избежать детектирования традиционными антивирусными решениями, так как большая часть вредоносной логики отсутствует в исходном файле. В частности, Wooperstealer, используемый в этой кампании, не содержит встроенных адресов для связи с командным сервером - они передаются через параметры Anondoor.
Технический анализ показал, что атака начинается с LNK-файла, который запускает цепочку загрузки. Среди загружаемых файлов - легитимная программа pythonw.exe (замаскированная под BlueAle.exe) и вредоносная библиотека python313.dll (собственно Anondoor). После запуска бэкдор собирает информацию о системе: версию ОС, IP-адреса, имя компьютера, данные о дисках и даже уникальный идентификатор, сгенерированный на основе аппаратных характеристик. Эти данные отправляются на сервер злоумышленников.
Сервер, в свою очередь, может отправлять команды для загрузки дополнительных модулей. Например, если в ответе содержится инструкция "start", Anondoor загружает указанный компонент и выполняет его. В одном из исследованных случаев таким компонентом оказался Wooperstealer - инструмент для кражи данных, ранее использовавшийся Confucius в других атаках.
Важно отметить, что связь с управляющим сервером организована таким образом, чтобы минимизировать риски для инфраструктуры злоумышленников. Даже если один из компонентов будет перехвачен, реальные адреса командных серверов останутся скрытыми. Кроме того, загрузка функциональных модулей через динамические запросы усложняет анализ в песочницах, что объясняет нулевой уровень детектирования этого бэкдора антивирусными решениями на момент обнаружения.
Эксперты подчеркивают, что Confucius демонстрирует высокую скорость технологической адаптации. Переход к модульным бэкдорам позволяет группировке гибко менять тактику и избегать обнаружения. Организациям, особенно в регионах, традиционно подвергающихся атакам Confucius, рекомендуется усилить мониторинг подозрительной активности, уделяя особое внимание необычным запросам к внешним ресурсам и попыткам скрытного выполнения кода.
В ближайшее время можно ожидать дальнейшего развития этого трояна, включая добавление новых модулей и методов маскировки. Учитывая, что Confucius остается одной из наиболее активных APT-групп в Азии, игнорировать такие угрозы нельзя - их своевременное обнаружение и блокировка критически важны для защиты конфиденциальных данных.
Индикаторы компрометации
SHA256
- abefd29c85d69f35f3cf8f5e6a2be76834416cc43d87d1f6643470b359ed4b1b