L’ Arbor Security Engineering Response Team (ASERT) ha pubblicato la documentazione frutto della ricerca sul malware Etumbot.
Etumbot è una backdoor utilizzata per attacchi mirati almeno dal marzo 2011. Alcuni indicatori suggeriscono che Etumbot abbia a che fare con il gruppo Numbered Panda (noto anche come IXEHSE, DynCalc e APT12). Anche se precedenti ricerche hanno studiato del malware correlato, poco è stato pubblicamente discusso circa le capacità di Etumbot.
Taluni elementi suggeriscono che il dropper di Etumbot venga diffuso mediante tecniche di spearphishing e che sia contenuto all’interno di un file compattato proposto in maniera tale da interessare la potenziale vittima. Gli attaccanti utilizzano la tecnica Unicode Right to Left Override e icone di documento per mascherare appunto come documento l’eseguibile pericoloso. Una volta lanciato il dropper viene attivata la backdoor e aperta la visualizzazione di un file che serve a distrarre la vittima. L’ASERT ha analizzato diversi campioni di Etumbot che per distrarre la vittima ricorrono a documenti inerenti vari argomenti di interesse per il pubblico taiwanese e giapponese, e ha osservato recenti sviluppi che indicano come le campagne di attacco siano tuttora in corso.
Una volta installata, la backdoor si collega al proprio server C&C (Comando e Controllo) ricevendone una chiave di cifratura. La tecnica crittografica RC4, insieme con transazioni HTTP studiate per confondersi con il normale traffico di rete, viene utilizzata per le comunicazioni della backdoor. Le funzionalità di base di Etumbot permettono di eseguire comandi oltre che di caricare e scaricare file.
Gli attaccanti cercano di mascherare il malware sfruttando una tecnica nota come “byte string” o “string stacking”. Grazie all’impiego dei tool ASERT, queste stringhe vengono ripristinate in modo intellegibile e quindi evidenziate agli occhi dei ricercatori.
Una timeline contenente i documenti usati per distrarre le vittime e gli indicatori di backdoor e dropper comprensivi di hash MD5, informazioni sul server di Comando e Controllo, ed elementi del file system e del processo sono disponibili su .
È stato osservato il ricorso al connection bouncer HTran, a indicare che i server C&C selezionati sono semplicemente siti compromessi impiegati per inoltrare il traffico altrove.
Per scaricare il report completo ASERT Threat Intelligence Brief 2014-07: Illuminating the Etumbot APT Backdoor, cliccare qui.
GUEST POST: eleonora.ballatori@seigradi.com
Our Fact Checking Process
We prioritize accuracy and integrity in our content. Here's how we maintain high standards:
- Expert Review: All articles are reviewed by subject matter experts.
- Source Validation: Information is backed by credible, up-to-date sources.
- Transparency: We clearly cite references and disclose potential conflicts.
Our Review Board
Our content is carefully reviewed by experienced professionals to ensure accuracy and relevance.
- Qualified Experts: Each article is assessed by specialists with field-specific knowledge.
- Up-to-date Insights: We incorporate the latest research, trends, and standards.
- Commitment to Quality: Reviewers ensure clarity, correctness, and completeness.
Look for the expert-reviewed label to read content you can trust.