Go Back   Carder.life > [ru] Forum for Russians > Новости мирового кардинга
Reload this Page Обнаружена новая версия бэкдора PRISM

CARDER.MARKET - CARDING FORUM FOR PROFESSIONAL CARDERS


Reply
 
Thread Tools Display Modes
  #1  
Old 05-20-2025, 04:53 AM
Artifact's Avatar

Artifact Artifact is offline
Administrator
Join Date: Jan 2024
Posts: 0
Default

Вредоносные исполняемые файлы оставались незамеченными более 3 лет.

Исследователи в области кибербезопасности из AT&T Alien Labs обнаружили кластер исполняемых файлов Linux ELF, идентифицированных как модификации бэкдора PRISM с открытым исходным кодом. Злоумышленники использовали бэкдор в ходе нескольких кампаниях на протяжении более трех лет.
«PRISM — простой и понятный бэкдор с открытым исходным кодом. Его трафик отчетливо идентифицируется, а его двоичные файлы легко обнаружить. Несмотря на это, двоичные файлы PRISM до сих пор не обнаруживались, а его C&C-сервер оставался в сети более 3,5 лет», — отметили эксперты.
Одним из обнаруженных вариантов PRISM является WaterDrop с функцией xencrypt, которая выполняет шифрование XOR со встроеннім однобайтовым ключом 0x1F.
«Начиная с версии 7 варианта WaterDrop, образцы включают текстовую строку «WaterDropx vX start», где X — это целочисленный номер версии. До сих пор мы наблюдали версии 1, 2.2 и 3, все еще использующие имя PRISM. Версии 7, 9 и 12 называются WaterDropx. Он также использует легко идентифицируемую строку пользовательского агента «agent-waterdropx» для передачи команд и управления на основе HTTP и достигает поддоменов waterdropx[.]com», — пояснили исследователи.
Домен waterdropx[.]com был зарегистрирован на нынешнего владельца 18 августа 2017 года, а по состоянию на 10 августа 2021 года он все еще был в Сети.
По словам исследователей, помимо базовых функций PRISM, WaterDrop предоставляет XOR-шифрование для конфигурации и дополнительный процесс, который регулярно запрашивает у С&C-сервера команды для выполнения. Эта связь с сервером обычно представляет собой обычный текстовый HTTP-протокол HTTP и выполняется с помощью команды curl.
Исследователи обнаружили образцы вредоносного ПО, помеченные как PRISM v1, которые они с высокой степенью уверенности связывают с группировкой, использующей другие обнаруженные исполняемые варианты PRISM Linux ELF.
Новая версия PRISM создает дочерний процесс, который постоянно будет запрашивать у C&C-сервера команды для выполнения. PRISM v1 не поддерживает никакого вида обфускации, упаковки или шифрования двоичных файлов.
Версии PRISM v2.2 и PRISM v3 практически идентичны — обе используют командные строки BASH для сокрытия конфиденциальных данных.
Reply

Tags
NULL

« Previous Thread | Next Thread »

Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts
BB code is On
Smilies are On
[IMG] code is On
HTML code is On
Forum Jump




All times are GMT. The time now is 02:40 PM.

Contact Us - Carder.life - Archive - Top