Хакеры использовали наработки ЦРУ, чтобы написать зловред покруче.
https://www.securitylab.ru/upload/ib...1x7nnjnd8r.jpg
Неизвестные злоумышленники разработали новый бэкдор, функции которого позаимствовали у мультиплатформенного пакета вредоносных программ Hive, принадлежащего ЦРУ США. Исходный код Hive был опубликован WikiLeaks в ноябре 2017 года.
«Мы впервые встречаем в открытом доступе зловред на основе ЦРУ-шной Hive. Мы назвали его xdr33 в честь встроенного сертификата CN=xdr33», — сообщили Алекс Тьюринг и Хуэй Ван из сетевой лаборатории Qihoo 360 в техническом отчете, опубликованном на прошлой неделе.
Сообщается, что xdr33 распространяется путем использования неуказанной уязвимости безопасности. Он взаимодействует с сервером контроля и управления (C2) по протоколу SSL, при помощи поддельных сертификатов «Лаборатории Касперского».
https://www.securitylab.ru/upload/me...6c2akdub5i.png
Схема работы xdr33
Цель бэкдора, согласно отчёту Qihoo 360, состоит в том, чтобы собрать конфиденциальную информацию и подготовить почву для последующих атак. Хакеры нехило прокачали первоначальную структуру Hive, добавив в неё новых C2 инструкций и функций.
Рассмотренный исполняемый файл работает в том числе как маяк. Он периодически передаёт системные метаданные на удаленный сервер и выполняет команды, поступающие от C2.
https://www.securitylab.ru/upload/me...kw5a8xcig4.png
https://www.securitylab.ru/upload/me...ne3knx309a.png
Такая схема работы позволяет бэкдору производить полноценный обмен файлами, выполнять операции с командной строкой, запускать другие программы и даже стирать свои следы со скомпрометированного устройства.