Распространение вредоносного ПО, эксплуатирующего уязвимость Innorix: Andariel

vulnerability

Группа анализа ASEC (AhnLab Security Emergency response Center) обнаружила распространение вредоносного ПО, нацеленного на пользователей с уязвимыми версиями Innorix Agent. Собранное вредоносное ПО представляет собой бэкдор, который пытается подключиться к серверу C&C.

Эксплуатируемый Innorix Agent является клиентом решения для передачи файлов. Подробная информация об уязвимости была опубликована Корейским агентством Интернета и безопасности (KISA), где версии INNORIX Agent, требующие обновления безопасности, были идентифицированы как версия 9.2.18.450 и более ранняя версия, 9.2.18.418.

Обнаруженный бэкдор пытается подключиться к серверу C&C. Основные функции включают сбор и пересылку информации о ПК пользователя, а также захват скриншотов, создание файлов и их выполнение.

Обнаруженный бэкдор имеет два вида. При первоначальном обнаружении было подтверждено, что он был разработан на языке C/C++, в то время как недавно обнаруженный образец был создан на .NET. Различий в функциях между этими двумя формами нет. Некоторые отчеты об обнаружении показывают, что он пытался скрыть себя, используя имя AhnLab при регистрации в планировщике задач.

Эта вредоносная программа, классифицированная как бэкдор, использует процедуру, показанную на рисунке 4, при получении и использовании данных, и эта же процедура используется аналогичным образом при отправке данных. Исходя из диагностики AhnLab, шифрование данных с помощью процедур кодирования и декодирования и обход контроля на уровне пакетов - это особенности, которые можно рассматривать как характеристики Andardoor. Значение ключа 74615104773254458995125212023273 совпадает со значением ключа XOR в отчете CISA, опубликованном в 2016 году.

Компаниям и обычным пользователям рекомендуется быть особенно осторожными, поскольку эта вредоносная программа недавно распространилась в виде уязвимости программного обеспечения. Программное обеспечение, все еще имеющее уязвимые версии, должно управляться таким образом, чтобы оно использовалось только после обновления.

Indicators of Compromise

IPv4 Port Combinations

  • 109.248.150.179:443
  • 139.177.190.243:443
  • 27.102.107.224:5443
  • 27.102.107.234:8443
  • 27.102.113.88:21
  • 27.102.113.88:5443
  • 4.246.144.112:443

MD5

  • 0211a3160cc5871cbcd4e5514449162b
  • 0a09b7f2317b3d5f057180be6b6d0755
  • 1ffccc23fef2964e9b1747098c19d956
  • 6dd579cfa0cb4a0eb79414de6fc1d147
  • 88a7c84ac7f7ed310b5ee791ec8bd6c5
  • 9112efb49cae021abebd3e9a564e6ca4
  • ac0ada011f1544aa3a1cf27a26f2e288
  • bcac28919fa33704a01d7a9e5e3ddf3f
  • c892c60817e6399f939987bd2bf5dee0
  • e5410abaaac69c88db84ab3d0e9485ac
Комментарии: 0