Ekspertët e Symantec kanë zbuluar një sërë sulmesh të kryera me backdoor të Merdoor kundër disa kompanive aziatike. Malware u zhvillua nga grupi Lancefly dhe është përdorur që nga viti 2018, por ai lë pak gjurmë sepse kriminelët kibernetikë zgjedhin pak objektiva për aktivitetet e tyre të spiunazhit kibernetik.
Merdoor: Backdoor i fuqishëm për Windows
Merdoor është instaluar si një shërbim, ofron aftësi për regjistrimin e tasteve dhe komunikon me serverin e komandës dhe kontrollit (C&C) nëpërmjet HTTP, HTTPS, DNS, UDP ose TCP. Një skedar konfigurimi specifikon metodën e komunikimit, detajet e shërbimit dhe direktorinë e instalimit.
Vektori i infeksionit është aktualisht i panjohur (ndoshta phishing, vjedhje kredenciale SSH ose dobësi të serverit), por studiuesit e Symantec zbuluan se porta e pasme shpërndahet nëpërmjet një arkivi RAR vetë-ekstraktues (SFX), në të cilin ka tre skedarë: një DLL legjitim i cenueshëm. ngarkuesi Merdoor dhe ngarkesa përfundimtare. Ngarkuesi injekton backdoor në proceset e Windows (perfhost.exe ose svchost.exe) ose shfrytëzon teknikën e ngarkimit anësor DLL.
Merdoor mund të hedhë memorien LSASS, të krijojë detyra të planifikuara për akses në distancë nëpërmjet SMB dhe të enkriptojë skedarët përpara eksfiltrimit. Një sulm i fundit përdori gjithashtu rootkit ZXShell i cili mund të instalojë drejtues, të modifikojë regjistrin e Windows dhe të krijojë shërbime.
Zgjedhja e objektivave dhe numri i kufizuar i sulmeve e bëjnë më të vështirë zbulimin e backdoor. Aktualisht është praktikisht i padukshëm për zgjidhjet kryesore të sigurisë.
Discussion about this post