‘BendyBear-malware komt van Chinese staatshackers’

Abonneer je gratis op Techzine!

Onderzoekers van Palo Alto Networks hebben een nieuwe vorm van complexe shellcode malware ontdekt. De BendyBear-malware wordt gelinkt aan Chinese hackers die mogelijk steun ontvangen van de Chinese overheid.

De nu ontdekte BendyBear-malware wordt, volgens de onderzoekers, vooral ingezet bij aanvallen op overheden in Oost-Azië. De malware bestaat uit zeer goed ontworpen en moeilijk te ontdekken voorbeelden van shell code.

Het doel van de nu ontdekte malware is alleen om een nog robuustere vorm van malware van een command & control (C2) server te downloaden en deze in te laten nestelen in de aangevallen systemen. Vaak is dit soort malware klein van omvang, maar BendyBear beschikt over meer dan 10.000 lijnen aan code. Deze code wordt gebruikt om geavanceerde features en anti-analyse technieken te implementeren. Denk daarbij aan gemodificeerde RC4-encryptie, signature block verfication en ‘polymorfische’ code.

Omzeilen van detectie

De malware kan zich voor security-analyses verbergen door zijn omgeving te checken op signalen van debugging. Hierdoor is het bijvoorbeeld niet mogelijk om ‘vingerafdrukken’ van de malware te maken. De malware wordt daardoor zeer moeilijk te detecteren.

Daarnaast gebruikt het onder meer de polymorfische code om de runtime footprint tijdens het uitvoeren van de code te veranderen. Op deze manier worden geheugenanalyse en signature-identificatie omzeild. Ook zorgt BendyBear ervoor dat het verbindingsprotocol naar de C2-server wordt verborgen. De malware zorgt er ook voor dat constant de DNS cache van de host wordt leeggemaakt als het probeert zich met de C2-server te verbinden. Verder gebruikt BendyBear een bestaande Windows registry key die default aanstaat in Windows 10 om configuratiegegevens op te slaan.

Zeer ervaren hackers

De zeer geavanceerde features van de malware geven volgens de onderzoekers aan dat de bewuste hackers graag onzichtbaar willen blijven en detectie willen voorkomen. Ook het gebruik van cryptografische routines en byte-manipulatie wijzen erop dat de hackers over hoge technische vaardigeden beschikken.

Connectie met Chinese overheid.

De onderzoekers leggen de connectie tussen de makers van de BendyBear-malware met de Chinese hackgroep BlackTech. Deze van connecties met de Chinese overheid verdachte hackers zitten onder meer achter de WaterBear-malwarefamilie, waarmee BendyBear veel gelijkenis vertoont. Dit verklaart misschien de aanvallen met BendyBear op overheidsorganisaties in de Oost-Aziatische regio.