Daxin Spionage Backdoor Meningkatkan Ante pada Malware Cina

The Daxin malware membidik jaringan pemerintah yang keras di seluruh dunia, menurut para peneliti, dengan tujuan cyberespionage.

Tim Symantec Threat Hunter melihat senjata advanced persistent threat (APT) beraksi pada bulan November, mencatat bahwa itu adalah “senjata yang paling canggih sepotong malware yang telah dilihat oleh peneliti Symantec dari aktor yang terkait dengan China…menunjukkan kompleksitas teknis yang sebelumnya tidak terlihat oleh aktor tersebut.”

Mereka menambahkan bahwa lingkup operasi spesifik Daxin mencakup membaca dan menulis file arbitrer; memulai dan berinteraksi dengan proses sewenang-wenang; dan kemampuan gerakan lateral dan siluman yang canggih.

Badan Keamanan Cybersecurity dan Infrastruktur (CISA) AS juga menandai aktivitas tersebut, yang dicirikan oleh Symantec sebagai “berjalan lama”. Sampel malware paling awal yang diketahui berasal dari tahun 2013, ketika ia sudah memiliki sebagian besar basis kode yang dikembangkan sepenuhnya.

“Malware Daxin adalah backdoor rootkit yang sangat canggih dengan fungsionalitas command-and-control (C2) yang kompleks dan tersembunyi yang memungkinkan remote aktor untuk berkomunikasi dengan perangkat aman yang tidak terhubung langsung ke internet, ”peringatan CISA, dalam peringatan Senin. “Daxin tampaknya dioptimalkan untuk digunakan melawan target yang diperkeras, memungkinkan para aktor untuk menggali lebih dalam ke jaringan yang ditargetkan dan mengekstraksi data tanpa menimbulkan kecurigaan.”

Dibangun untuk Stealth

Dari sudut pandang teknis, Daxin mengambil bentuk driver kernel Windows, menurut Symantec’s Monday analisis, dan memiliki fokus pada stealth.

“Kemampuan Daxin menunjukkan penyerang menginvestasikan upaya yang signifikan dalam mengembangkan teknik komunikasi yang dapat berbaur dengan lalu lintas jaringan normal pada jaringan target,” perusahaan menemukan. “Secara khusus, malware menghindari memulai layanan jaringannya sendiri. Alih-alih, itu dapat menyalahgunakan layanan sah apa pun yang sudah berjalan di komputer yang terinfeksi. computer.

“Daxin juga mampu menyampaikan komunikasinya melalui jaringan komputer yang terinfeksi di dalam organisasi yang diserang,” kata mereka. “Penyerang dapat memilih jalur sewenang-wenang di seluruh komputer yang terinfeksi dan mengirim satu perintah yang memerintahkan komputer ini untuk membuat konektivitas yang diminta. Kasus penggunaan ini telah dioptimalkan oleh desainer Daxin.”

Daxin juga dapat membajak koneksi TCP/IP yang sah. Menurut Symantec, ia memantau semua lalu lintas TCP yang masuk untuk pola tertentu, dan ketika pola yang disukai terdeteksi, ia memutuskan penerima yang sah dan mengambil alih koneksi.

“Kemudian melakukan pertukaran kunci khusus dengan rekan jarak jauh, di mana dua sisi ikuti langkah-langkah pelengkap. Malware dapat menjadi inisiator dan target pertukaran kunci, ”menurut analisis. “Pertukaran kunci yang berhasil membuka saluran komunikasi terenkripsi untuk menerima perintah dan mengirim tanggapan. Penggunaan koneksi TCP yang dibajak oleh Daxin memberikan tingkat kerahasiaan yang tinggi pada komunikasinya dan membantu membangun konektivitas pada jaringan dengan aturan firewall yang ketat. Ini juga dapat menurunkan risiko penemuan oleh analis SOC yang memantau anomali jaringan. Nomor port TCP dan kredensial untuk digunakan selama pertukaran kunci kustom. Ketika Daxin menerima pesan ini, ia memilih node berikutnya dari daftar.

Tim peneliti menghubungkan Daxin dengan aktor Tiongkok karena biasanya digunakan bersama alat yang diketahui terkait dengan aktor spionase Tiongkok.

“Sebagian besar target tampaknya adalah organisasi dan pemerintah kepentingan strategis ke China, ”tambah mereka. “Daxin tidak diragukan lagi adalah malware paling canggih yang pernah dilihat oleh peneliti Symantec yang digunakan oleh aktor yang terkait dengan China.”

Pindah ke cloud? Temukan ancaman keamanan cloud yang muncul bersama dengan saran yang solid tentang cara mempertahankan aset Anda dengan eBuku GRATIS kami yang dapat diunduh, “Cloud Security: The Forecast for 2022.” Kami mengeksplorasi risiko dan tantangan utama organisasi, praktik terbaik untuk pertahanan, dan saran untuk keamanan sukses dalam lingkungan komputasi yang dinamis, termasuk daftar periksa yang praktis.
Tulis komentar
Bagikan artikel ini:

  • Infrastruktur Kritisliu
      iMalware