Группа анализа ASEC (AhnLab Security Emergency response Center) обнаружила распространение вредоносного ПО, нацеленного на пользователей с уязвимыми версиями Innorix Agent. Собранное вредоносное ПО представляет собой бэкдор, который пытается подключиться к серверу C&C.
Эксплуатируемый Innorix Agent является клиентом решения для передачи файлов. Подробная информация об уязвимости была опубликована Корейским агентством Интернета и безопасности (KISA), где версии INNORIX Agent, требующие обновления безопасности, были идентифицированы как версия 9.2.18.450 и более ранняя версия, 9.2.18.418.
Обнаруженный бэкдор пытается подключиться к серверу C&C. Основные функции включают сбор и пересылку информации о ПК пользователя, а также захват скриншотов, создание файлов и их выполнение.
Обнаруженный бэкдор имеет два вида. При первоначальном обнаружении было подтверждено, что он был разработан на языке C/C++, в то время как недавно обнаруженный образец был создан на .NET. Различий в функциях между этими двумя формами нет. Некоторые отчеты об обнаружении показывают, что он пытался скрыть себя, используя имя AhnLab при регистрации в планировщике задач.
Эта вредоносная программа, классифицированная как бэкдор, использует процедуру, показанную на рисунке 4, при получении и использовании данных, и эта же процедура используется аналогичным образом при отправке данных. Исходя из диагностики AhnLab, шифрование данных с помощью процедур кодирования и декодирования и обход контроля на уровне пакетов - это особенности, которые можно рассматривать как характеристики Andardoor. Значение ключа 74615104773254458995125212023273 совпадает со значением ключа XOR в отчете CISA, опубликованном в 2016 году.
Компаниям и обычным пользователям рекомендуется быть особенно осторожными, поскольку эта вредоносная программа недавно распространилась в виде уязвимости программного обеспечения. Программное обеспечение, все еще имеющее уязвимые версии, должно управляться таким образом, чтобы оно использовалось только после обновления.
Indicators of Compromise
IPv4 Port Combinations
- 109.248.150.179:443
- 139.177.190.243:443
- 27.102.107.224:5443
- 27.102.107.234:8443
- 27.102.113.88:21
- 27.102.113.88:5443
- 4.246.144.112:443
MD5
- 0211a3160cc5871cbcd4e5514449162b
- 0a09b7f2317b3d5f057180be6b6d0755
- 1ffccc23fef2964e9b1747098c19d956
- 6dd579cfa0cb4a0eb79414de6fc1d147
- 88a7c84ac7f7ed310b5ee791ec8bd6c5
- 9112efb49cae021abebd3e9a564e6ca4
- ac0ada011f1544aa3a1cf27a26f2e288
- bcac28919fa33704a01d7a9e5e3ddf3f
- c892c60817e6399f939987bd2bf5dee0
- e5410abaaac69c88db84ab3d0e9485ac
