Cybersecurity -onderzoekers hebben een heimelijke nieuwe achterdeur bekendgemaakt genaamd Mystrodx Dat wordt geleverd met verschillende functies om gevoelige gegevens van gecompromitteerde systemen vast te leggen.
“Mystrodx is een typische achterdeur geïmplementeerd in C ++, ondersteunende functies zoals bestandsbeheer, port forwarding, reverse shell en socket management,” zei Qianxin XLAB in een rapport dat vorige week werd gepubliceerd. “In vergelijking met typische achterdeuren valt Mystrodx op in termen van stealth en flexibiliteit.”
Mystrodx, ook wel chronosrat genoemd, werd vorige maand voor het eerst gedocumenteerd door Palo Alto Networks Unit 42 in verband met een dreigingsactiviteitcluster genaamd CL-STA-0969 dat volgens exposities overlapt met een China-Nexus Cyber Espionage Group genoemd liminale panda.
De stealth van de malware komt voort uit het gebruik van verschillende niveaus van codering om de broncode en payloads te verdoezelen, terwijl de flexibiliteit het in staat stelt om verschillende functies dynamisch in te schakelen op basis van een configuratie, zoals het kiezen van TCP of HTTP voor netwerkcommunicatie of kiezen voor platte tekst of AES -codering om netwerkverkeer te beveiligen.
Mystrodx ondersteunt ook wat een wake-up-modus wordt genoemd, waardoor deze kan functioneren als een passieve achterdeur die kan worden geactiveerd na ontvangst van speciaal vervaardigde DNS- of ICMP-netwerkpakketten van inkomend verkeer. Er zijn aanwijzingen dat de malware al sinds januari 2024 mogelijk bestaat, gebaseerd op een activeringstijdstempel die in de configuratie is ingesteld.
“Magische waarde wordt geverifieerd, Mystrodx stelt communicatie vast met de C2 (command-and-control) met behulp van het opgegeven protocol en wacht op verdere opdrachten,” zeiden XLAB-onderzoekers. “In tegenstelling tot bekende stealth-backdoors zoals Synfly Knock, die TCP-headervelden manipuleert om opdrachten te verbergen, gebruikt Mystrodx een eenvoudigere maar effectieve aanpak: het verbergt activeringsinstructies rechtstreeks in de payload van ICMP-pakketten of binnen DNS Query-domeinen.”
De malware wordt geleverd door middel van een druppelaar die gebruik maakt van een golf van debugger- en virtuele machinegerelateerde controles om te bepalen of het huidige proces wordt opgelost of wordt uitgevoerd in een gevirtualiseerde omgeving. Zodra de validatiestap is voltooid, wordt de payload op de volgende fase gedecodeerd. Het bevat drie componenten –
- Overdag, een launcher die verantwoordelijk is voor het lanceren van Chargen
- Chargen, de Mystrodx Backdoor Component, en
- drukkist
Mystrodx, eenmaal uitgevoerd, bewaakt continu het dagproces en lanceert het niet meteen. De configuratie, die is gecodeerd met behulp van het AES -algoritme, bevat informatie met betrekking tot de C2 -server, het achterdeurtype en de hoofd- en back -up C2 -poorten.
“Wanneer het achterdeurtype is ingesteld op 1, gaat Mystrodx de passieve achterdeurmodus in en wacht op een activeringsbericht,” zei Xlab. “Wanneer de waarde van het achterdeurtype niet 1 is, gaat Mystrodx de actieve achterdeurmodus in en stelt communicatie vast met de C2 die in de configuratie is opgegeven, wachtend om de ontvangen opdrachten uit te voeren.”
