Actores de amenazas no identificados han desplegado una nueva puerta trasera que toma prestadas sus características de la Agencia Central de Inteligencia de EE. UU. (CIA) Colmena multiplataforma paquete de malwarecuyo código fuente fue publicado por WikiLeaks en noviembre de 2017.
«Esta es la primera vez que capturamos una variante del kit de ataque Hive de la CIA en la naturaleza, y lo llamamos xdr33 basado en su certificado Bot-side integrado CN=xdr33″, Alex Turing y Hui Wang de Qihoo Netlab 360 dicho en un artículo técnico publicado la semana pasada.
Se dice que xdr33 se propaga al explotar una vulnerabilidad de seguridad en el dispositivo F5 y al comunicarse con un servidor de comando y control (C2) mediante SSL con certificados de Kaspersky falsificados.
La intención de la puerta trasera, según la firma china de ciberseguridad, es recopilar información confidencial y actuar como plataforma de lanzamiento para intrusiones posteriores. Mejora a Hive al agregar nuevas instrucciones y funcionalidades C2, entre otros cambios de implementación.
Él DUENDE sample funciona además como una baliza extrayendo periódicamente metadatos del sistema al servidor remoto y ejecutando comandos emitidos por el C2.
Esto incluye la capacidad de descargar y cargar archivos arbitrarios, ejecutar comandos usando cmd e iniciar shell, además de actualizar y borrar rastros de sí mismo del host comprometido.
El malware también incorpora un módulo Trigger que está diseñado para espiar el tráfico de la red en busca de un paquete «trigger» específico para extraer el servidor C2 mencionado en la carga útil del paquete IP, establecer la conexión y esperar la ejecución de los comandos emitidos por el C2.
«Vale la pena señalar que Trigger C2 se diferencia de Beacon C2 en los detalles de la comunicación; después de establecer un túnel SSL, [the] bot y Trigger C2 usan un Intercambio de claves Diffie-Hellman para establecer una clave compartida, que se utiliza en el algoritmo AES para crear una segunda capa de cifrado», explicaron los investigadores.