Purplefox BotNet, arsenalini yeni güvenlik açığı sömürüyle yeniledi ve düşürdü, şimdi C2 çift yönlü iletişim için WebOckets'i de kullanıyor.
Esas olarak Çin merkezli olmasına rağmen, Purplefox Botnet'in yüzlerce tehlikeye giren sunucuda hala küresel bir varlığa sahiptir.
Etkinliği, kullanılabilir bir C2 sunucusuna işaret eden, belirtilen URL'den kötü amaçlı bir yükleme yükü indiren bir PowerShell komutunun yürütülmesiyle başlar.
Trend Micro'daki araştırmacılar tarafından izlenen son kampanyalarda kullanılan yükleme yükü, üç ayrıcalık yükseltme bileşenini içeren uzun bir komut dosyasıdır.
Bu hedef Windows 7'ye Windows 10 sistemlerine, ancak yalnızca 64 bit sistemlerle sınırlıdır.
En son PurpleFex varyantları tarafından sömürülen kusurlar aşağıdakilerdir:
PurpleFex ana bilgisayar sistemini algılar, uygun istismarları seçer ve ardından yüklemek için PowersPloit modülünü kullanır.
Bir MSI paketi, herhangi bir kullanıcı etkileşimi gerektirmeden, eski PurpleFox kurulumlarını kontrol etmeden ve bileşenlerini yenileriyle değiştirmeden yönetici düzeyinde bir işlemden başlatılır.
Ana bilgisayar sistemine yüklenen arka kapı, VMProtect dosya sıkıştırma yardımcı programı ile bulanıklaştırılmış bir DLL dosyasıdır.
Kötü amaçlı yazılım ayrıca, dosyalarını, kayıt defteri anahtarlarını ve işlemlerini gizleyen bir rootkit sürücüsü kullanır, uzgılanan sunucuda algılanma şansını azaltır.
Son kampanyalardan alınan yeni bir .NET backdoor, C2 haberleşmeleri için WebOnets'ten yararlanmak için ilk izinsiz girişten sonra düşer.
Bu bileşen, iletişim yapılandırmasını ve kriptografik fonksiyonların başlatılması için de kurulmasından sorumludur.
Haberler için web sayfalarının kullanımı, kötü amaçlı yazılım alanında olağandışı bir şeydir, ancak PurpleFex bunun yine de çok etkili olabileceğini gösteriyor.
Virüslü makine ile seçilen C2 sunucusu arasındaki değiştirilen mesajlar, bir oturum RSA şifreleme anahtarı için müzakerelerle başlar, ancak bu ilk değişim bile varsayılan bir anahtar kullanılarak AES şifrelidir.
"KeepAlive" mesajları göndererek, TCP bağlantısı gerektiği kadar sürdürülür.
Trendmicro tarafından gözlenen WebSetör komutlarının listesi geniştir ve farklı varyantlar arasında bazı tutarsızlıklar olmasına rağmen, aşağıdaki tablo hepsini özetlemektedir.
Şu anda, PurpleFeFox hala aktif ve web sitesini istemcileri kontrol eden önemli sayıda C & C sunucusu var.
Hedeflerin profillenmesini yaparak, TrendMicro, ABD, Türkiye, BAE, Irak ve Suudi Arabistan'da olmak için en önemli aktivite sıcak noktalarını bildirmektedir.
Ukrayna polisi tutuklama DDOS operatörü 100.000 botu kontrol ediyor
Mykings botnet hala aktif ve büyük miktarda para kazanıyor
Freakout Botnet şimdi savunmasız video DVR cihazlarına saldırıyor
Wirex DDOS Botnet admin otel zinciri saldırmak için ücretlendirildi
Flubot Android Malware şimdi sahte güvenlik güncellemeleri ile yayılır
Kaynak: Bleeping Computer