BellaCPP是Charming Kitten组织使用C++编写的BellaCiao变种。

admin
admin
admin
140350
文章
117
评论
2024年12月27日12:42:01评论18 views字数 1275阅读4分15秒阅读模式
BellaCPP是Charming Kitten组织使用C++编写的BellaCiao变种。
与伊朗有关的APT组织Charming Kitten被发现使用BellaCiao恶意软件的C++变体,称为BellaCPP。BellaCiao是一种基于.NET的恶意软件,它结合了webshell持久性和隐蔽隧道。
Bitdefender于2023年4月首次发现此恶意代码,其PDB路径揭示了宝贵的见解,包括版本控制方案。最近,卡巴斯基在一台亚洲电脑上发现了一个BellaCiao恶意软件样本,以及一个相关的旧版BellaCiao的C++重新实现版本。
BellaCiao的PDB路径揭示了有关该活动的关键细节,包括目标实体和国家/地区。所有路径都包含“MicrosoftAgentServices”,有时带有版本号整数(例如,“MicrosoftAgentServices2”),开发人员可能使用它来跟踪更新并维护不断发展的恶意软件库以进行APT操作。
卡巴斯基发布的报告中写道:“在感染了基于.NET的BellaCiao恶意软件的同一台机器上发现了BellaCPP。它是一个名为“adhapl.dll”的DLL文件,使用C++开发,位于C:WindowsSystem32。它有一个导出函数,名为“ServiceMain”。名称和控制句柄注册表明,与原始BellaCiao样本类似,此变体设计为以Windows服务的身份运行。”基于.NET的BellaCiao恶意软件的行为类似于早期版本,包括:使用XOR加密解密DLL路径、函数(“SecurityUpdate”和“CheckDNSRecords”)的字符串;加载DLL并解析函数地址;生成格式为<5个随机字母><目标标识符>.<国家代码>.systemupdate[.]info的域名;根据硬编码地址验证域的IP,并使用特定参数调用“SecurityUpdate”函数。尽管存在相似之处,但差异包括域名生成模式和.NET版本中的SSH隧道工作流程。由于关键DLL(D3D12_1core.dll)不可用,因此对其的分析仍不完整。
“根据传递的参数和已知的BellaCiao功能,我们中等程度地认为缺少的DLL创建了一个SSH隧道。但是,与我们在旧版BellaCiao样本中观察到的PowerShell webshell相比,BellaCPP样本缺少硬编码的webshell。
BellaCPP可能与Charming Kitten威胁参与者有关,因为它以C++形式镜像了BellaCiao样本,但没有webshell功能,使用与该参与者相关的域名,采用类似的域名生成方法,并且在一个系统上与旧版BellaCiao样本一起被发现。Charming Kitten一直在改进其恶意软件系列,同时利用公开可用的工具。
报告总结道。“BellaCPP样本的发现突出了彻底调查网络及其中的机器的重要性。攻击者可以部署安全解决方案可能无法检测到的未知样本,从而在删除“已知”样本后仍保留在网络中的立足点。”

原文始发于微信公众号(黑猫安全):BellaCPP是Charming Kitten组织使用C++编写的BellaCiao变种。

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年12月27日12:42:01
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   BellaCPP是Charming Kitten组织使用C++编写的BellaCiao变种。https://cn-sec.com/archives/3559379.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息