BlueShell malware
Az AhnLab SEcurity Intelligence Centre (ASEC) korábban beszámoltak APT-támadásokban használt BlueShell malware-ről. A támadók testre szabták a BlueShell-t, egy hátsó ajtós rosszindulatú programot, és azt használták a támadásaikban, olyan feltételeket állítva be, hogy csak bizonyos rendszereken működjön.
A blog megjelenése óta a VirusTotalon keresztül továbbra is gyűjtötték BlueShell malware-t ugyanattól a támadótól. Bár a célpontokat a Linux rendszer hostneve alapján vizsgálják, ez az információ önmagában nem elegendő a támadás célpontjának azonosításához, és a malware önmagában nem fed fel releváns információkat, például a behatolás kezdeti módszerét. Mivel azonban megerősítést nyertek az új, identitásparancsokat álcázó dropper malware-ek, valamint további malware-ek és C&C szerverek azonosítása, ez a szakasz elemzi és összefoglalja az előző blogban említett BlueShell malware-rel együtt begyűjtött további malware-eket.
A BlueShell egy Go nyelven fejlesztett, a GitHubon közzétett, Windows, Linux és Mac operációs rendszereket támogató backdoor malware. Jellemző rá, hogy a readme fájlja kínai nyelven van, ami arra utal, hogy a készítője kínaiul beszélő lehet. A BlueShell-t továbbra is használják hazai célpontok elleni támadásokban, és korábbi blogjainkban a Dalbit támadócsoport és ismeretlen szereplők példáit ismertettük. Hátsóajtós kártevőként képes parancsokat fogadni a C&C szerverről, és végrehajtani a támadó rosszindulatú parancsait, aminek eredményeképpen a BlueShell telepített BlueShell-lel rendelkező rendszer a támadó kezébe kerül.