Un'operazione della banda cinese di criminalità informatica conosciuta come DoubleGun Group è stata interrotta, che aveva accumulato centinaia di migliaia di bot controllati tramite servizi di cloud pubblico, tra cui Alibaba e Baidu Tieba.
I ricercatori di NetLab 360, in un recente post, hanno affermato di aver notato attività DNS nei suoi dati di telemetria risalenti a un dominio sospetto (pro.csocools [dot] com) che controlla grandi quantità di dispositivi Windows infetti. L'analisi dell'infrastruttura di comando e controllo (C2) dell'operazione e del malware utilizzato per costruire la botnet ha mostrato che lo sforzo potrebbe essere attribuito a un gruppo di minacce noto: DoubleGun, noto anche come ShuangQiang.
"In passato, questo [gruppo] è stato esposto da più fornitori di sicurezza, ma si è ripreso e è tornato con nuovi metodi e grande forza", hanno scritto i ricercatori di NetLab 360.
L'ultima campagna ha diffuso malware tramite portali di gioco pirata, hanno aggiunto. Nel frattempo, la banda ha utilizzato lo storage Alibaba Cloud e la più grande comunità online cinese, Baidu Tieba, per ospitare i file di configurazione; e gli indirizzi URL ospitati da Tencent Weiyun sono stati usati per gestire l'attività degli host infetti, hanno detto i ricercatori.
"La campagna attira gli utenti che giocano a giochi underground per installare software di lancio che contiene codice dannoso", secondo l'analisi. "Facendo clic sul collegamento per il download si passerà alla corrispondente home page del server privato in cui gli utenti dovrebbero essere in grado di scaricare una patch di avvio del gioco. Quando l'utente installa e avvia la "patch", il codice dannoso accede al server delle informazioni di configurazione, quindi scarica e carica dinamicamente l'ultima versione del programma dannoso denominata cs.dll da Baidu Tieba."
Sotto il cappuccio
Il file cs.dll è nascosto nei file di immagine ospitati su Baidu Tieba. Ogni immagine contiene dati immagine separati e dati di codice dannoso. La stringa di chiavi in cs.dll utilizza anche un metodo di crittografia DES deformato e personalizzato, che è molto simile ai campioni DoubleGun che i ricercatori hanno catturato in precedenza, hanno detto.
"Cs.dll eseguirà alcune semplici contromisure di macchine virtuali e anti-software e utilizzerà il servizio di statistiche Baidu per riportare informazioni sui bot [al C2]", secondo l'analisi. "[Utilizza] l'API di sistema per creare l'ID bot dell'host e scriverlo nel registro" SOFTWARE \ PCID "."
Dopo aver stabilito l'ID bot, il gruppo DoubleGang ha utilizzato i campi standard nell'interfaccia delle statistiche Baidu per segnalare informazioni riservate sull'host.
"Poiché il servizio statistico Baidu è utilizzato da un gran numero di siti Web, è difficile distinguerlo, il che rende più difficile per i fornitori di sicurezza vedere e agire", hanno spiegato i ricercatori. "L'interfaccia offre all'autore del bot la possibilità di caricare script statistici this.bv, cookie utente, ID bot e altre informazioni statistiche in modo che l'autore possa facilmente gestire e valutare gli utenti infetti."
Viene quindi distribuito un driver di terzo stadio, che recupera ulteriori informazioni sulla configurazione, anch'esso offuscato con la crittografia DES deformata.
"Dopo la decrittazione, è possibile vedere che le informazioni di configurazione utilizzano un formato personalizzato", hanno affermato i ricercatori. “Due immagini Baidu formano un gruppo e i dati validi vengono intercettati e assemblati in un file valido. Tutte le informazioni di configurazione restituite dagli esempi di driver contengono un indirizzo Tencent Weiyun. Sembra una strategia per generare dinamicamente gli indirizzi del file server di configurazione. Noi ipotizziamo che possa essere una funzione nella fase di sviluppo, quindi il codice di esempio non contiene ancora il codice corrispondente. "
Una volta installato il malware, gli operatori sono stati quindi in grado di dirottare i processi di sistema e scaricare i programmi dannosi successivi.
"La DLL ottiene le informazioni relative al server di configurazione chiamando il driver", secondo i ricercatori. "Secondo le informazioni di configurazione scaricate, Baidu Tieba va a scaricare altro codice dannoso per svolgere la fase successiva delle attività dannose."
Tutti i fornitori di servizi correlati hanno intrapreso azioni contro l'abuso secondo NetLab 360, contribuendo a bloccare la campagna.
"Sulla base della massiccia intelligenza delle minacce, la piattaforma di sicurezza anti-underground dell'economia Baidu aveva intrapreso azioni di cooperazione per calcolare l'infezione della botnet, fornire avvisi di rischio agli utenti infetti e infine bloccare tutto il download di malware", secondo una dichiarazione dei media di Baidu. “Durante questa azione congiunta, abbiamo avuto una migliore comprensione dei mezzi tecnici, della logica e delle regole di DoubleGun Gang, condividendo, analizzando e rispondendo alla relativa intelligence sulle minacce.