Mandiant Threat Intelligence di FireEye ha scoperto una nuova sofisticata backdoor di secondo stadio caricata in un repository pubblico di malware da un’entità con sede negli Stati Uniti. La nuova backdoor è stata chiamata SUNSHUTTLE e funzionerebbe come backdoor di seconda fase per condurre la ricognizione della rete insieme ad altri strumenti relativi a SUNBURST.
SUNSHUTTLE dimostra tecniche di evasione di rilevamento semplici ma eleganti tramite le sue capacità di traffico “blend-in” per le comunicazioni C2.
SUNSHUTTLE è scritto in GO e legge un file di configurazione locale o incorporato, comunica con un server di comando e controllo (C2) hardcoded su HTTPS e supporta comandi tra cui il caricamento remoto della sua configurazione, il caricamento e il download di file e l’esecuzione di comandi arbitrari. In particolare, utilizza le intestazioni dei cookie per passare i valori a C2. Se configurato, può selezionare i referrers da un elenco di URL di siti web popolari per aiutare tale traffico di rete a “mimetizzarsi”.
In sintesi
SUNSHUTTLE è una backdoor scritta in GoLang. Una volta eseguito SUNSHUTTLE, una descrizione di alto livello dell’esecuzione è la seguente:
- Impostazioni di configurazione determinate
- Richiede una “chiave di sessione” dal C2
- Recupera la 2chiave di sessione2 da C2
- Una volta recuperata una chiave di sessione, SUNSHUTTLE avvia il ciclo di beaconing della richiesta di comando
- Inizia il beaconing della richiesta di comando
- Risolve il comando ed esegue l’azione.
I dettagli tecnici sono inclusi nel rapporto pubblicato da FireEye: