IOC:
af5d2dfcafbb23666129600f982ecb87
192.168.159.133
45.9.150.144
c55c77695b6fd5c24b0cf7ccce3e464034b20805
netlab@360.cn
46a3c308401e03d3195c753caa14ef34a3806593
c55c77695b6fd5c24b0cf7ccce3e4640
ad40060753bc3a1d6f380a5054c1403a
ee07a74d12c0bb3594965b51d0e45b6f
192.168.159.128
요약:
봇넷
내용:
s development. 주의해서! Xdr33, CIA의 HIVE 공격 킷 변종이 발생합니다.
이것은 우리가 지난해 10월 21일 360Netlab의 유일한 시스템에서 의심스러운 ELF 파일 ee07a74d12c0bb3594965b51d0e45b6f를 캡처한 것입니다. 이 파일은 F5 취약점을 통해 전파되었으며, 우리의 시스템에서는 IP 45.9.150.144와 SSL을 통해 Kaspersky 인증서를 조작하여 통신하는 것을 관찰했습니다. 이것은 눈에 띄는 사실입니다. CIA의 Hive 프로젝트 서버 소스 코드가 유출된 후에 이것은 처음으로 발견되었으며, 우리는 그것을 xdr33이라고 지칭하고 있습니다. xdr33는 백도어로써 CIA의 Hive 프로젝트에서 태어난 것입니다. 그것의 주된 목적은 중요한 정보를 수집하고 이후 침투의 접점을 제공하는 것입니다. 네트워크 통신에서 xdr33은 원래의 트래픽을 암호화하기 위해 XTEA 또는 AES 알고리즘을 사용하며, 또한 SSL을 통해 Client-Certificate Authentication 모드가 활성화되어 있어서 트래픽을 더욱 보호합니다. 기능에서는 비콘과 트리거가 있는데, 이 중 비콘은 주기적으로 디바이스에 대한 중요한 정보를 하드 코딩 된 비콘 C2에게 보고하고, 그것의 명령을 실행합니다. 반면에 트리거는 NIC 트래픽을 모니터링하여 트리거 C2를 감추는 특정 메시지를 식별하고, 그러한 메시지를 받으면 트리거 C2와 통신을 수립하고, 그것의 명령을 실행할 때까지 기다립니다.
기능 스케멀틱은 아래와 같습니다. Hive는 BEACON_HEADER_VERSION 매크로를 정의하여 지정된 버전을 가지고 있으며, 소스 코드의 마스터 브랜치에서는 값이 29이고, xdr33에서는 값이 34입니다. 따라서 xdr33은 여러 라운드의 개발을 거쳤을 가능성이 있습니다......
주의하세요! Xdr33, CIA의 HIVE 공격 키트의 변종이 등장합니다.:
https://blog.netlab.360.com/headsup_xdr33_variant_of_ciahive_emeerges/
'Security > News' 카테고리의 다른 글
| '야마봇' 마스터링 바이러스 사용 - 관련 IOC 8개 발견 (0) | 2023.03.17 |
|---|---|
| 오와사스 전자 거래소 익스플로잇을 관찰하고 있으며... 아직도 관련 IOC 21개 발견 (0) | 2023.03.17 |
| 헤드크랩 : 글로벌 캠페인에서 최첨단 레디스 메일웨어 관련 IOC 6개 발견 (0) | 2023.03.17 |
| 블랙테크가 이용한 F5 BIG-IP 취약점(CVE-2022-1388) 관련 IOC 8개 발견 (0) | 2023.03.17 |
| CorePlague: 젠킨스 서버의 치명적인 취약점으로 인한 RCE 관련 IOC 12개 발견 (0) | 2023.03.17 |
댓글0