BackdoorDiplomacy: Von Quarian zu Turian

ESET-Forscher entdecken eine neue Kampagne, die sich aus der Quarian Backdoor entwickelt hat

ESET-Forscher entdecken eine neue Kampagne, die sich aus der Quarian Backdoor entwickelt hat

Zusammenfassung

Eine APT-Gruppe, die wir aufgrund der Hauptkategorie ihrer Opfer BackdoorDiplomacy nennen, hat es seit mindestens 2017 auf Außenministerien und Telekommunikationsunternehmen in Afrika und im Nahen Osten abgesehen. Als erste Infektionsvektoren bevorzugt die Gruppe die Ausnutzung direkt am Internet hängender Geräte wie Webserver und Verwaltungsschnittstellen für Netzwerkgeräte. Sobald die Malware auf einem System ist, verwenden ihre Bediener Open-Source-Tools zum Scannen der Umgebung und zur lateralen Ausbreitung. Interaktiver Zugriff wird auf zwei Arten erreicht: (1) über eine eigens angepasste Backdoor, die wir Turian nennen und die auf der Quarian-Backdoor basiert; und (2) in weniger Fällen, wenn ein direkterer und interaktiver Zugriff erforderlich ist, werden bestimmte Open-Source-Fernzugriffstools eingesetzt. In mehreren Fällen wurde beobachtet, dass die Gruppe Wechselmedien für die Datensammlung und Exfiltration ins Visier nahm. Schließlich wurden sowohl Windows- als auch Linux-Betriebssysteme ins Visier genommen.

Verbindungen zu bekannten Gruppen

BackdoorDiplomacy teilt Gemeinsamkeiten mit mehreren anderen asiatischen Gruppen. Am offensichtlichsten unter ihnen ist die Verbindung zwischen der Turian-Backdoor und der Quarian-Backdoor. Spezifische Beobachtungen bezüglich der Turian-Quarian-Verbindung sind unten im Turian-Abschnitt festgehalten. Wir glauben, dass diese Gruppe auch mit einer Gruppe verbunden ist, die Kaspersky als „CloudComputating“ bezeichnet und die ebenfalls von Sophos analysiert wurde.

Mehrere Opfer wurden durch Mechanismen kompromittiert, die annähernd mit der Rehashed Rat– und einer MirageFox-APT15-Kampagne übereinstimmten, die 2017 von Fortinet bzw. 2018 von Intezer dokumentiert wurde. Die Operatoren von BackdoorDiplomacy machten von ihrer speziellen Form des DLL Search-Order Hijacking Gebrauch.

Schließlich ist die von BackdoorDiplomacy verwendete Netzwerkverschlüsselungsmethode ziemlich ähnlich mit einer Backdoor, die Dr.Web Backdoor.Whitebird.1 nennt. Whitebird wurde verwendet, um staatliche Institutionen in Kasachstan und Kirgisistan (beide Nachbarn eines Opfers von BackdoorDiplomacy in Usbekistan) im selben Zeitraum (von 2017 bis heute) anzugreifen, in dem BackdoorDiplomacy aktiv war.

Viktimologie

Quarian wurde verwendet, um 2012 das syrische Außenministerium und 2013 das US-Außenministerium anzugreifen. Dieser Trend, des Angriffs auf Außenministerien, setzt sich mit Turian fort.

Die Außenministerien mehrerer afrikanischer Länder sowie von Europa, dem Nahen Osten und Asien wurden als Opfer identifiziert. Weitere Ziele sind Telekommunikationsunternehmen in Afrika und mindestens eine Wohltätigkeitsorganisation im Nahen Osten. In jedem Fall wandten die Betreiber ähnliche Taktiken, Techniken und Verfahren (TTPs) an, änderten jedoch die verwendeten Tools, sogar in eng zusammenhängenden geografischen Regionen, was die Verfolgung der Gruppe wahrscheinlich erschwerte. Abbildung 1 zeigt eine Karte der Opfer nach Ländern und Branchen.

Abbildung 1. Opfer nach Ländern und Branchen

Angriffsvektoren

BackdoorDiplomacy zielte auf Server mit Internet-exponierten Ports ab und nutzte wahrscheinlich ungepatchte Schwachstellen oder geringe Absicherungen bei Datei-Uploads aus. In einem konkreten Fall haben wir beobachtet, dass die Betreiber eine F5-BIP-IP-Sicherheitslücke (CVE-2020-5902) ausnutzen, um eine Linux-Backdoor zu installieren. In einem anderen Fall wurde eine Sicherheitslücke in einem Microsoft Exchange-Server mittels eines PowerShell-Droppers ausgenutzt, der die China Chopper Webshell installierte, eine bekannte Webshell, die seit 2013 von verschiedenen Gruppen verwendet wird. Bei einem Drittel der Angriffe beobachteten wir auch die Ausnutzung eines Plesk-Servers mit schlecht abgesicherter Datei-Upload-Sicherheit, um eine Webshell ähnlich China Chopper zu auszuführen. Auf Abbildung 2 finden Sie einen Überblick über die Exploit-Kette.

Abbildung 2. Exploit-Kette von der anfänglichen Kompromittierung bis zur Backdoor mit C&C-Kommunikation

Aufklärung und laterale Ausbreitung

Nach der anfänglichen Kompromittierung setzte die BackdoorDiplomacy-Gruppe in vielen Fällen Open-Source-Aufklärungs- und Red-Team-Tools ein, um die Netzwerkumgebung auf zusätzliche Angriffsgelegenheiten und zur lateralen Ausbreitung hin zu untersuchen. Zu den dokumentierten Tools gehören:

  • EarthWorm, ein einfacher Netzwerktunnel mit SOCKS v5-Server- und Port-Transfer-Funktionen
  • Mimikatzv und verschiedene Versionen einschließlich SafetyKatz
  • Nbtscan, ein Befehlszeilen-NetBIOS-Scanner für Windows
  • NetCat, ein Netzwerkdienstprogramm, das Daten über Netzwerkverbindungen liest und schreibt
  • PortQry, ein Tool zum Anzeigen des Status von TCP- und UDP-Ports auf Remote-Systemen
  • SMBTouch, wird verwendet, um festzustellen, ob ein Ziel anfällig für EternalBlue ist
  • Verschiedene Tools aus dem ShadowBrokers-Dump von NSA-Tools, einschließlich, aber nicht beschränkt auf:
    • DoppelPulsar
    • ewiges Blau
    • Ewige Felsen
    • EternalSynergy

Häufig verwendete Verzeichnisse für das Staging von Aufklärungs- und Lateralbewegungswerkzeugen sind:

  • C:\Program Files\Windows Mail\en-US\
  • %LOCALAPPDATA%\Microsoft\InstallAgent\Checkpoints\
  • C:\ProgramData\ESET\ESET Security\Logs\eScan\
  • %USERPROFILE%\ESET\ESET Security\Logs\eScan\
  • C:\Program Files\hp\hponcfg\
  • C:\Program Files\hp\hpssa\
  • C:\hp\hpsmh\
  • C:\ProgramData\Mozilla\updates\

Von den oben aufgeführten Tools wurden viele mit VMProtect (v1.60-2.05) verschleiert, ein wiederkehrendes Thema bei den BackdoorDiplomacy-Tools.

Windows

Backdoor-Dropper

In einigen Fällen wurden die Betreiber beim Hochladen von Backdoor-Droppern beobachtet. Die Betreiber versuchten auf verschiedene Weise, ihre Backdoor-Dropper zu tarnen und der Entdeckung zu entgehen.

  • Namenskonventionen, die sich in den normalen Betrieb einfügen (z. B. amsc.exe, msvsvr.dll, alg.exe)
  • Ablegen von Implantaten in Ordnern, die nach legitimer Software benannt sind (z. B. C:\Program Files\hp, C:\ProgramData\ESET, C:\ProgramData\Mozilla)
  • DLL-Search-Order-Hijacking

In einem solchen Fall haben die Betreiber über eine Webshell sowohl ScnCfg.exe (SHA-1: 573C35AB1F243D6806DEDBDD7E3265BC5CBD5B9A), eine legitime ausführbare McAfee-Datei als auch vsodscpl.dll, eine bösartige DLL, benannt nach einer legitimen McAfee-DLL, die ScnCfg.exe heisst, hochgeladen. Die bereitgestellte Version von vsodscpl.dll (SHA-1: FCD8129EA56C8C406D1461CE9DB3E02E616D2AA9) wurde von ScnCfg.exe aufgerufen, woraufhin vsodscpl.dll Turian, eingebettet in ihrem Code, extrahierte, in den Speicher schrieb und ausführte.

Auf einem anderen System legten die Betreiber eine legitime Kopie von credwize.exe, dem Microsoft-Assistenten zum Sichern und Wiederherstellen von Anmeldeinformationen, auf der Festplatte ab und verwendeten sie, um die bösartige Bibliothek New.dll, eine weitere Turian-Variante, auszuführen.

Turian

Ungefähr die Hälfte der von uns gesammelten Proben wurde mit VMProtect verschleiert. Eine Zusammenstellung der beobachteten Operatorbefehle ist im Abschnitt Operatorbefehle enthalten. Eindeutige Netzwerkverschlüsselungsschemata werden unten ebenfalls einzeln erörtert.

Ähnlichkeiten mit Quarian

Der erste Bericht von Kaspersky stellt fest, dass sich die Opfer von Quarian im syrischen Außenministerium befanden, einer ähnlichen Zielgruppe von Turian.

In vielen der Turian-Proben, die wir gesammelt haben, gibt es offensichtliche Ähnlichkeiten mit Quarian. Mutexes werden von beiden verwendet, um zu überprüfen, ob nur eine Instanz ausgeführt wird, obwohl die verwendeten Mutexes unterschiedlich benannt sind. Wir haben beobachtet, dass Turian die folgenden Mutexes verwendet:

  • Winsupdatetw
  • Clientix
  • Klient
  • Updatethres
  • Sonstiges: dynamisch generiert basierend auf dem Hostnamen des Systems, beschränkt auf acht Hex-Zeichen, Kleinbuchstaben und vorangestellt mit einer führenden Null

C&C-Serverdomänen und IP-Adressen werden mit ähnlichen XOR-Routinen extrahiert, wobei Quarian einen Entschlüsselungsschlüssel von 0x44 verwendet, Turian verwendet 0xA9.

Turian und Quarian lesen beide die ersten vier Bytes aus der Datei cf im selben Verzeichnis wie die ausführbare Datei der Malware, die dann im Rahmen der C&C-Beacon-Routine als Schlafdauer verwendet werden.

Der Turian-Netzwerkverbindungsprozess folgt einem ähnlichen Muster wie Quarian und versucht, eine direkte Verbindung herzustellen. Wenn dies aufgrund eines lokalen Proxys mit einer Antwort von 407 (Autorisierung erforderlich) fehlschlägt, versuchen beide, lokal zwischengespeicherte Anmeldeinformationen zu verwenden. Die von Turian an den Proxy gesendete Anfrage enthält jedoch keinen der grammatikalischen Fehler, die Quarian gesendet hat. Siehe Abbildung 3 für einen Vergleich der Proxy-Verbindungsversuche.

Abbildung 3. Vergleich der Proxy-Verbindungsversuche, Turian (links) und Quarian (rechts)

Schließlich erstellen sowohl Turian als auch Quarian eine Remote-Shell, indem sie cmd.exe nach alg.exe kopieren.

Persistenz

Nach der ersten Ausführung stellt Turian die Persistenz her, indem er die Datei tmp.bat im aktuellen Arbeitsverzeichnis erstellt, die folgenden Zeilen in die Datei schreibt und dann die Datei ausführt:

ReG add HKEY_CURRENT_USER\sOFtWArE\MIcrOsOft\WindOwS\CurRentVeRsiOn\RuN /v Turian_filename> /t REG_SZ /d „<location_of_Turian_on_disk>\<Turian_filename>“ /f

ReG add HKEY_LOCAL_MACHINE\sOFtWArE\MIcrOsOft\WindOwS\CurRentVeRsiOn\RuN /v <Turian_Dateiname> /t REG_SZ /d „<Speicherort_der_Turian_auf_Festplatte>\<Turian_Dateiname>“ /f

del %0

Turian prüft dann, ob die Datei Sharedaccess.ini in seinem Arbeitsverzeichnis vorhanden ist. Wenn diese Datei vorhanden ist, versucht Turian, die C&C-IP oder -Domäne von dort zu laden, falls vorhanden. Wir haben nicht beobachtet, dass Turian IPs oder Domains auf diese Weise weitergibt, aber Tests haben bestätigt, dass Turian versucht, die C&C-Adresse zuerst von hier zu laden. Nach der Überprüfung von Sharedaccess.ini versucht Turian, sich mit einer festcodierten IP oder Domäne zu verbinden und richtet sein Netzwerkverschlüsselungsprotokoll ein.

Netzwerkverschlüsselung

Es ist bekannt, dass Quarian sowohl einen 8-Byte-XOR-Schlüssel (siehe auch Talos zu Quarian: Reversing the C&C Protocol) als auch eine 8-Byte-Nonce verwendet hat, um einen Sitzungsschlüssel zu erstellen (siehe ThreatConnect in Quarian Network Protocol Analysis in Divide and Conquer: Unmasking China’s „Quarian“ Campaigns Through Community). Turian hat eine eigene Methode zum Austauschen von Netzwerkverschlüsselungsschlüsseln. Siehe Abbildung 4 für eine Aufschlüsselung der Konfiguration der Turian-Netzwerkverschlüsselung.

Abbildung 4. Einrichtung der Turian-Netzwerkverschlüsselung

Nach dem Empfang des letzten 56-Byte-Pakets ruft Turian die Initialisierungsfunktion der Netzwerkverschlüsselung in Abbildung 5 auf und akzeptiert die 56 Datenbytes im letzten C&C-Paket als einziges Argument.

Abbildung 5. Dekompilierte Hex-Rays-Ansicht der Initialisierungsfunktion des Verschlüsselungsschlüssels

Eine zweite Einrichtung zur Netzwerkverschlüsselung wurde ebenfalls beobachtet, wie in Abbildung 6 dargestellt.

Abbildung 6. Einrichtungsprotokoll für die zweite Turian-Netzwerkverschlüsselung

Die letzte Iteration der Schleife mit vier Iterationen (QWORD byte[5]) wird als Seed für die Schlüsselinitialisierungsfunktion verwendet, wie unten in Abbildung 7 gezeigt wird.

Abbildung 7. Initialisierungsfunktion des zweiten Schlüssels

Betreiberbefehle

Die vollständige Liste der Turian-Betreiberbefehle ist in Tabelle 1 aufgeführt.

Tabelle 1. C&C-Befehle von Turian

IDDescription
0x01Get system information including OS version, memory usage, local hostname, system adapter info, internal IP, current username, state of the directory service installation and domain data.
0x02Interactive shell – copy %WINDIR%\system32\cmd.exe to %WINDIR%\alg.exe and spawn alg.exe in a new thread.
0x03Spawn a new thread, acknowledge the command and wait for one of the three-digit commands below.
0x04Take screenshot.
0x103/203Write file.
0x403List directory.
0x503Move file.
0x603Delete file.
0x703Get startup info.

Wechseldatenträger im Visier

Eine Untergruppe der Opfer wurde mit ausführbaren Datensammlungsdateien ins Visier genommen, die darauf ausgelegt waren, nach Wechselmedien (höchstwahrscheinlich USB-Flash-Laufwerken) zu suchen. Das Implantat sucht routinemäßig nach solchen Laufwerken und zielt insbesondere auf Wechselmedien ab (der Rückgabewert von GetDriveType ist 2). Wenn das Implantat gefunden wird, verwendet es eine eingebettete Version von WinRAR, um diese festcodierten Befehle auszuführen:

  • CMD.exe /C %s a -m5 -hp1qaz@WSX3edc -r %s %s\\*.*
  • CMD.exe /C %s a -m5 -hpMyHost-1 -r %s %s\\*.*
  • CMD.exe /C rd /s /q \“%s“\

Die Parameter im Befehl gliedern sich in:

  • a == Dateien zum Archiv hinzufügen
  • -m[0:5] == Komprimierungsstufe
  • -hp<Kennwort>
  • -r == rekursive Unterverzeichnisse
  • rd == Verzeichnis entfernen
  • /s == einen Verzeichnisbaum löschen
  • /q == leiser Modus
  • \“%s“\ == Verzeichnis, auf das reagiert werden soll

Das Implantat versucht, beim Erkennen eines eingelegten Wechseldatenträgers, alle Dateien auf dem Laufwerk in ein passwortgeschütztes Archiv zu kopieren und legt das Archiv im folgenden Verzeichnis ab, das fest codiert und somit für jedes Opfer gleich ist:

  • C:\RECYCLER\S-1-3-33-854245398-2067806209-0000980848-2003\

Das Implantat kann auch Dateien löschen, basierend auf dem dritten oben aufgeführten Befehl.

Tools für den Fernzugriff

Gelegentlich benötigen die Betreiber von BackdoorDiplomacy ein höheres Maß an Zugriff oder mehr Interaktivität als Turian. Bei diesen Gelegenheiten verwenden sie Open-Source-Remotezugriffstools wie Quasar, das eine Vielzahl von Funktionen bietet und auf praktisch allen Windows-Versionen läuft.

Linux

Linux

Wir entdeckten über eine gemeinsam genutzte C&C-Serverdomäne eine Linux-Backdoor mit einer ähnlichen Netzwerkinfrastruktur, die nach Ausnutzung einer bekannten Schwachstelle in der F5 BIG-IP-Load-Balancer Traffic-Management-Benutzeroberfläche (TMUI), die Remotecodeausführung (RCE) ermöglicht, bereitgestellt wurde. Die Linux-Variante versucht zu Persistenz zu erreichen, indem sie sich selbst in /etc/init.d/rc.local schreibt.

Als nächstes durchläuft sie eine Schleife, um Strings aus dem Speicher zu extrahieren:

  • bash -version
  • echo $PWD
  • /bin/sh
  • /tmp/AntiVirtmp
  • eth0
  • /proc/%d/exe

Dann ruft sie ihre Daemon-Funktion auf und spaltet einen untergeordneten Prozess ab, der dann mit der Entschlüsselung der C&C-IP-Adresse und/oder des Domänennamens beginnt und dann eine Schleife initiiert, die mit Mozilla/5.0 (X11; Linux i686; rv .) und Firefox/22.0 als User-Agent den C&C kontaktiert. Diese C&C-Schleife wird fortgesetzt, bis eine erfolgreiche Verbindung hergestellt wurde. Sobald eine Verbindung hergestellt ist, durchläuft der Linux-Agent einen ähnlichen Konfigurationsprozess für die Netzwerkverschlüsselung wie die Windows-Version von Turian. Abbildung 8 zeigt das Netzwerkverschlüsselungsprotokoll, das von der Linux-Variante von Turian verwendet wird.

Abbildung 8. Linux Turian-Variante – Setup-Routine für das Netzwerkverschlüsselungsprotokoll

Nach dem Empfang des letzten 56-Byte-Pakets ruft der Linux-Agent die in Abbildung 9 dargestellte Initialisierungsfunktion für den Netzwerkverschlüsselungsschlüssel auf.

Abbildung 9. Hex-Rays dekompilierte Netzwerkverschlüsselungsschlüssel-Initialisierungsfunktion

Nach erfolgreichem Abschluss des Netzwerkprotokoll-Setups wird ein weiterer untergeordneter Prozess abgespalten und versucht, eine TTY-Reverse-Shell zu erzeugen:

  • python -c ‚import pty; pty.spawn(„/bin/sh“)‘

Fazit

BackdoorDiplomacy ist eine Gruppe, die sich hauptsächlich gegen diplomatische Organisationen im Nahen Osten und in Afrika und seltener gegen Telekommunikationsunternehmen wendet. Ihre anfängliche Angriffsmethodik konzentriert sich darauf, angreifbare Anwendungen auf Webservern auszunutzen, die dem Internet ausgesetzt sind, um eine Webshell zu droppen und auszuführen. Nach der Kompromittierung setzt BackdoorDiplomacy über die Webshell Open-Source-Software für Aufklärung und Informationsbeschaffung ein und bevorzugt die Verwendung von DLL-Search-Order-Hijacking, um seine Backdoor Turian zu installieren. Schließlich verwendet BackdoorDiplomacy eine separate ausführbare Datei, um Wechseldatenträger, wahrscheinlich USB-Sticks, zu erkennen und deren Inhalt in den Papierkorb des Hauptlaufwerks zu kopieren.

BackdoorDiplomacy teilt Taktiken, Techniken und Verfahren mit anderen asiatischen Gruppen. Turian stellt wahrscheinlich eine nächste Evolutionsstufe von Quarian dar, der Hintertür, die zuletzt im Jahr 2013 gegen diplomatische Ziele in Syrien und den Vereinigten Staaten beobachtet wurde. Das Netzwerkverschlüsselungsprotokoll von Turian ist nahezu identisch mit dem Netzwerkverschlüsselungsprotokoll von Whitebird, einer Hintertür, die von Calypso, einer anderen asiatischen Gruppe, betrieben wird. Whitebird wurde im gleichen Zeitraum wie BackdoorDiplomacy (2017-2020) in diplomatischen Organisationen in Kasachstan und Kirgisistan eingesetzt. Darüber hinaus verwenden BackdoorDiplomacy und APT15 die gleichen Techniken und Taktiken, um ihre Hintertüren auf Systemen zu löschen, nämlich das oben erwähnte DLL-Search-Order-Hijacking.

BackdoorDiplomacy ist auch eine plattformübergreifende Gruppe, die sowohl auf Windows- als auch auf Linux-Systeme abzielt. Die Linux-Variante von Turian teilt die gleichen Eigenschaften des Netzwerkverschlüsselungsprotokolls und versucht, eine TTY-Reverse-Shell an den Betreiber zurückzugeben.

IoCs

Samples

SHA-1FilenameESET Detection NameDescription
3C0DB3A5194E1568E8E2164149F30763B7F3043Dlogout.aspxASP/Webshell.HBackdoorDiplomacy webshell – variant N2
32EF3F67E06C43C18E34FB56E6E62A6534D1D694current.aspxASP/Webshell.OBackdoorDiplomacy webshell – variant S1
8C4D2ED23958919FE10334CCFBE8D78CD0D991A8errorEE.aspxASP/Webshell.JBackdoorDiplomacy webshell – variant N1
C0A3F78CF7F0B592EF813B15FC0F1D28D94C9604App_Web_xcg2dubs.dllMSIL/Webshell.CBackdoorDiplomacy webshell – variant N3
CDD583BB6333644472733617B6DCEE2681238A11N/ALinux/Agent.KDLinux Turian backdoor
FA6C20F00F3C57643F312E84CC7E46A0C7BABE75N/ALinux/Agent.KDLinux Turian backdoor
5F87FBFE30CA5D6347F4462D02685B6E1E90E464ScnCfg.exeWin32/Agent.TGOWindows Turian backdoor
B6936BD6F36A48DD1460EEB4AB8473C7626142ACVMSvc.exeWin32/Agent.QKKWindows Turian backdoor
B16393DFFB130304AD627E6872403C67DD4C0AF3svchost.exeWin32/Agent.TZIWindows Turian backdoor
9DBBEBEBBA20B1014830B9DE4EC9331E66A159DFnvsvc.exeWin32/Agent.UJHWindows Turian backdoor
564F1C32F2A2501C3C7B51A13A08969CDC3B0390AppleVersions.dllWin64/Agent.HAWindows Turian backdoor
6E1BB476EE964FFF26A86E4966D7B82E7BACBF47MozillaUpdate.exeWin32/Agent.UJHWindows Turian backdoor
FBB0A4F4C90B513C4E51F0D0903C525360FAF3B7nvsvc.exeWin32/Agent.QAYWindows Turian backdoor
2183AE45ADEF97500A26DBBF69D910B82BFE721Anvsvcv.exeWin32/Agent.UFXWindows Turian backdoor
849B970652678748CEBF3C4D90F435AE1680601Fefsw.exeWin32/Agent.UFXWindows Turian backdoor
C176F36A7FC273C9C98EA74A34B8BAB0F490E19Eiexplore32.exeWin32/Agent.QAYWindows Turian backdoor
626EFB29B0C58461D831858825765C05E1098786iexplore32.exeWin32/Agent.UFXWindows Turian backdoor
40E73BF21E31EE99B910809B3B4715AF017DB061explorer32.exeWin32/Agent.QAYWindows Turian backdoor
255F54DE241A3D12DEBAD2DF47BAC5601895E458Duser.dllWin32/Agent.URHWindows Turian backdoor
A99CF07FBA62A63A44C6D5EF6B780411CF1B1073Duser.dllWin64/Agent.HAWindows Turian backdoor
934B3934FDB4CD55DC4EA1577F9A394E9D74D660Duser.dllWin32/Agent.TQIWindows Turian backdoor
EF4DF176916CE5882F88059011072755E1ECC482iexplore32.exeWin32/Agent.QAYWindows Turian backdoor

Network

C&Cs

ASHosterIP addressDomain
AS20473AS-CHOOPA199.247.9[.]67bill.microsoftbuys[.]com
AS132839POWER LINE DATACENTER43.251.105[.]218dnsupdate.dns2[.]us
43.251.105[.]222
AS40065Cnservers LLC162.209.167[.]154
AS132839POWER LINE DATACENTER43.225.126[.]179www.intelupdate.dns1[.]us
AS46573LAYER-HOST23.247.47[.]252www.intelupdate.dns1[.]us
AS132839POWER LINE DATACENTER43.251.105[.]222winupdate.ns02[.]us
AS40065Cnservers LLC162.209.167[.]189
AS25820IT7NET23.83.224[.]178winupdate.ns02[.]us
23.106.140[.]207
AS132839POWER LINE DATACENTER43.251.105[.]218
AS20473AS-CHOOPA45.76.120[.]84icta.worldmessg[.]com
AS20473AS-CHOOPA78.141.243[.]45
78.141.196[.]159Infoafrica[.]top
45.77.215[.]53szsz.pmdskm[.]top
207.148.8[.]82pmdskm[.]top
AS132839POWER LINE DATACENTER43.251.105[.]139www.freedns02.dns2[.]us
43.251.105[.]139web.vpnkerio[.]com
AS20473AS-CHOOPA45.77.215[.]53
AS135377UCloud (HK) Holdings Group Limited152.32.180[.]34
AS132839POWER LINE DATACENTER43.251.105[.]218officeupdates.cleansite[.]us
AS25820IT7NET23.106.140[.]207dynsystem.imbbs[.]in
officeupdate.ns01[.]us
systeminfo.oicp[.]net
AS40676Psychz Networks23.228.203[.]130systeminfo.myftp[.]name
systeminfo.cleansite[.]info
updateip.onmypc[.]net
buffetfactory.oicp[.]io

DDNS providers

RegistrarDomain
expdns[.]netupdate.officenews365[.]com
ezdnscenter[.]combill.microsoftbuys[.]com
changeip[.]orgdnsupdate.dns2[.]us
dnsupdate.dns1[.]us
www.intelupdate.dns1[.]us
winupdate.ns02[.]us
www.freedns02.dns2[.]us
officeupdates.cleansite[.]us
officeupdate.ns01[.]us
systeminfo.cleansite[.]info
updateip.onmypc[.]net
hichina[.]comInfoafrica[.]top
domaincontrol[.]comweb.vpnkerio[.]com
exhera[.]comdynsystem.imbbs[.]in
systeminfo.oicp[.]net

Newsletter-Anmeldung

Hier können Sie mitdiskutieren