Su código fuente fue publicado por WikiLeaks en noviembre de 2017
Actores de amenazas no identificados han desplegado una nueva puerta trasera que toma prestadas sus características del paquete de malware multiplataforma Hive de la Agencia Central de Inteligencia (CIA) de EE. UU., cuyo código fuente fue publicado por WikiLeaks en noviembre de 2017.
"Esta es la primera vez que detectamos una variante del kit de ataque Hive de la CIA en la naturaleza, y lo llamamos xdr33 según su certificado Bot-side integrado CN=xdr33", dijeron en un artículo técnico publicado la semana pasada Alex Turing y Hui Wang de Qihoo Netlab 360.
Se dice que xdr33 se propaga mediante la explotación de una vulnerabilidad de seguridad de día N no especificada en los dispositivos F5. Se comunica con un servidor de comando y control (C2) mediante SSL con certificados de Kaspersky falsificados.
La intención de la puerta trasera, según la firma china de ciberseguridad, es recopilar información confidencial y actuar como plataforma de lanzamiento para intrusiones posteriores. Mejora a Hive al agregar nuevas instrucciones y funcionalidades C2, entre otros cambios de implementación.
La muestra ELF funciona además como una baliza extrayendo periódicamente metadatos del sistema al servidor remoto y ejecutando comandos emitidos por el C2.
Esto incluye la capacidad de descargar y cargar archivos arbitrarios, ejecutar comandos usando cmd e iniciar shell, además de actualizar y borrar rastros de sí mismo del host comprometido.
El malware también incorpora un módulo Trigger que está diseñado para espiar el tráfico de la red en busca de un paquete "trigger" específico para extraer el servidor C2 mencionado en la carga útil del paquete IP, establecer la conexión y esperar la ejecución de los comandos enviados por el C2.
"Vale la pena señalar que Trigger C2 difiere de Beacon C2 en los detalles de comunicación; después de establecer un túnel SSL, [el] bot y Trigger C2 utilizan un intercambio de claves Diffie-Hellman para establecer una clave compartida, que se utiliza en el algoritmo AES para crear una segunda capa de cifrado", explicaron los investigadores.
