Обнаружена новая версия бэкдора PRISM

Обнаружена новая версия бэкдора PRISM

Вредоносные исполняемые файлы оставались незамеченными более 3 лет.

image

Исследователи в области кибербезопасности из AT&T Alien Labs обнаружили кластер исполняемых файлов Linux ELF, идентифицированных как модификации бэкдора PRISM с открытым исходным кодом. Злоумышленники использовали бэкдор в ходе нескольких кампаниях на протяжении более трех лет.

«PRISM — простой и понятный бэкдор с открытым исходным кодом. Его трафик отчетливо идентифицируется, а его двоичные файлы легко обнаружить. Несмотря на это, двоичные файлы PRISM до сих пор не обнаруживались, а его C&C-сервер оставался в сети более 3,5 лет», — отметили эксперты.

Одним из обнаруженных вариантов PRISM является WaterDrop с функцией xencrypt, которая выполняет шифрование XOR со встроенным однобайтовым ключом 0x1F.

«Начиная с версии 7 варианта WaterDrop, образцы включают текстовую строку «WaterDropx vX start», где X — это целочисленный номер версии. До сих пор мы наблюдали версии 1, 2.2 и 3, все еще использующие имя PRISM. Версии 7, 9 и 12 называются WaterDropx. Он также использует легко идентифицируемую строку пользовательского агента «agent-waterdropx» для передачи команд и управления на основе HTTP и достигает поддоменов waterdropx[.]com», — пояснили исследователи.

Домен waterdropx[.]com был зарегистрирован на нынешнего владельца 18 августа 2017 года, а по состоянию на 10 августа 2021 года он все еще был в Сети.

По словам исследователей, помимо базовых функций PRISM, WaterDrop предоставляет XOR-шифрование для конфигурации и дополнительный процесс, который регулярно запрашивает у С&C-сервера команды для выполнения. Эта связь с сервером обычно представляет собой обычный текстовый HTTP-протокол HTTP и выполняется с помощью команды curl.

Исследователи обнаружили образцы вредоносного ПО, помеченные как PRISM v1, которые они с высокой степенью уверенности связывают с группировкой, использующей другие обнаруженные исполняемые варианты PRISM Linux ELF.

Новая версия PRISM создает дочерний процесс, который постоянно будет запрашивать у C&C-сервера команды для выполнения. PRISM v1 не поддерживает никакого вида обфускации, упаковки или шифрования двоичных файлов.

Версии PRISM v2.2 и PRISM v3 практически идентичны — обе используют командные строки BASH для сокрытия конфиденциальных данных.


В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!