به نقل از وبسایت ZDNet، بدافزار HenBox در ابتدا گروه Uyghur را هدف قرارداده تا اطلاعاتی را از جمله اطلاعات شخصی و دستگاهها را سرقت کند. این بدافزار قابلیت نفود به دوربینها و میکروفونهای گوشیهای هوشمند را نیز دارد. این بدافزار در حملات سیاسی و هدفمند استفاده شده است و گروه مهاجم پشتپرده HenBox از بدافزارهای سال ۲۰۱۵ نظیر PlugX، Zupdax، ۹۰۰۲ و Poison Ivy استفاده میکنند.
این بدافزار عموما متمرکز بر گوشیهای هوشمند بوده و هکرها افق فعالیت خود را با ایجاد Farseer گسترش دادهاند. این بدافزار از طریق کمپینهای فیشینگ و فایلهای مخرب pdfکه با تاکتیکهای مهندسی اجتماعی از طریق کپی و چسباندن تعدادی مقالات خبری منتشر شده توزیع میشود.
Farseer با استفاده ازDLL های شناختهشده و مجاز، از برنامههای قابلاعتماد فروشندگان از جمله مایکروسافت استفاده میکند و از این رو توسط ضدویروسهای قدیمیتر شناسایی نمیشود. payloadهای مخرب برای جلوگیری از شناسایی در داخل ورودیها قرار دادهشده و بستهبندی و رمزگذاری نیز میشوند. سپس کد مبهمسازی شده برای ایجاد یک درپشتی و ارتباط با سرورهای فرمان و کنترل (C۲) و دریافت دستورات اضافی، که ممکن است شامل سرقت اطلاعات باشد، بارگذاری میشود.
روش مبهمسازی که در این مورد و بسیاری موارد دیگر از آن استفاده میشود، همان رمزگذاری ASCII است که کاراکترها با مقدار ASCII خود جایگزین میشوند. دیگر انواع بدافزارها از الگوریتمهای رمزنگاری قویتر و سفارشی برای مخفیکردن اطلاعات پیکربندی استفاده میکنند. در مجموع، ۳۰ نمونه منحصر به فرد از این بدافزار در طول دو سال و نیم گذشته مشاهده شده است. پژوهشگران میگویند که روند مشاهدهی نمونههای Farseer آهسته و پیوسته بوده است که میتواند با شبکهی زیرساختهای میزبان دیگر بدافزارهای مورد استفاده گروه، ردگیری شود.
هفت دامنه شناختهشده از این بدافزار میزبانی میکنند که چهار مورد از آنها مرتبط با Poison Ivy، Zupdax و PKPLUG بوده و همه آنها حداقل یک دامنه سطح سوم را به اشتراک گذاشتهاند. پژوهشگران معتقدند این منبع مشترک میتواند نشانگر الگویی برای نصب زیرساختها یا بر اساس نیازمندیهای ارتباطی بدافزار با سرور C۲باشد.
HenBox تهدیدی برای دستگاههای مبتنی بر اندروید و Farseer برای هدف قراردادن ویندوز، طراحی شدهاست. همپوشانی زیرساختها،TTP های مشترک و شباهتها در کد و پیکربندی، نشانهی تهدیدهایی است که قربانیان را هدف قرار میدهد.
نشانههای آلودگی (IoC):
هش:
• ۲۷۱e۲۹fe۸e۲۳۹۰۱۱۸۴۳۷۷ab۵d۰d۱۲b۴۰d۴۸۵f۸c۴۰۴aef۰bdcc۴a۴۱۴۸ccbb۱a۱a
• ۴ab۴۱a۰۲۵۶۲۴f۳۴۲deb۸۵d۷۹۸c۶d۶۲۶۴a۹fb۸۸b۸b۳d۹۰۳۷cf۸d۵۲۴۸a۹f۷۳۰۳۳۹
• ۸ff۰۳c۱۳d۰a۷۸۰۰۳۸۴۰b۷a۶۱۲e۳۷۲۲۴۲c۷def۱۲۳b۴fbf۵ea۱۷۸۰f۲d۷۰eb۸۰۶a۱
• ۵a۴۶۱۱۰۴a۲b۶e۳۱۳d۳d۰ee۰۸c۲۶e۹۰db۹۶۵۱۳۹b۱bff۴a۷۸۵ec۲۹۷۰۴۷d۵۷۰۳۴۰c
• a۹۹۹۴۸۹d۹۵e۵a۹۴f۷۵de۴۶۹۵c۹۵۷۹ffc۸۸bae۰۲۰۴۸۸۳۸e۳۵۲۳f۰۸۹d۹۷۰a۳۵abb
• ۰c۷e۳۵ca۱۳۱۲۲۰۴۰۶۳۳۱۹a۳۴۵۵ec۱۴bc۴b۷۰۱de۲۰۵۵۰۳e۶۳de۵۸۴f۲۸d۹۹f۰۲۹۱
• ۱۰bd۴۵۰۷eb۱۲bebc۱۷e۲۱۶e۱۶۹۵۰bf۷۷e۵۶c۲aad۰۱be۷۰۳۳bf۰d۵c۲۳۵f۲ad۶e۵
• d۴۴f۳۸۸۸۴۲d۹۳۸۰۷c۰b۵۶۳۹۹c۸b۷eae۵b۳dd۷۶۸۷۱e۴۹۰۸ef۳d۷d۸a۵۵۹f۰۱۴fe۶
• ۲۴b۵۲۴۰۳ff۶۵۲۴۱۶c۸۴afed۷e۱۲ece۱۱dc۵۹b۰۷f۷dba۵f۰۰۷e۱۱۷a۴cfc۶۷c۱ab
• ۸۸۹۰a۰۶d۳۲۳۳ecf۶۶۱c۰۴۰ca۵c۰۳۳۹۳c۳afd۶۲۰ccce۴۹fbe۰۸۴۷۷bbf۶b۷d۹b۰۴
• ۵۴۲b۲ca۴fe۲d۷d۱۳fa۳۱۷c۵۸f۴۶۹۴۲cdf۶eb۳۳۷۷۱bb۸۹۸d۷be۷۷۳f۸ccb۵۰b۱۳c
• b۷۸۲b۴c۵f۸fe۲ee۳۱۸e۵۰ddf۹۸۵c۹۱۳۲bff۶d۴۸b۰۱ea۳۶d۶۸۲۵۹۶۷bf۸۹e۵d۰c۲
• c۸b۲۲۳۲۳۶۰d۵d۶f۵۶cd۶b۱۰۷۶e۵e۲۱f۰d۵۰۱f۵cb۷۲۵e۰a۹b۳۲a۰ab۶۶۱b۴c۳۸dd
• b۸۲caa۵۰۸۷c۶fd۸ac۷۹۰۱۹۱۸۵c۶f۸۸۸۴f۵dd۹d۰۲۶۶bb۷ad۶۳۵۲۷۷f۳c۷ca۵c۶۱۵
• da۰۲edf۳f۳۳d۹۸۰۱d۰۶۶c۱f۹۳feef۳۳cdedc۱bc۷b۵۶۰۵۴۹۸۴۰۴e۸cad۸۰۱۵۷۲۹f
• ۱e۶۲b۷dcb۵۰۳f۴۷a۶۳۳۰c۴dcfc۴۹ea۹d۹۲۱b۷d۲f۸c۵۰۸۷۶۹d۲۷df۰۴e۶۱b۹۴۷۱d
• ۰۳۰۶۵۸۵۹۰۰f۱b۱bddc۷۶۱۴۹۳۵۲f۹۰۹۶۲c۳۶۵۹۵۹e۴۴a۴۸۶ba۳۵۴۷c۸۰d۱۲d۵۶e۴۱
• ۱e۴۶c۸۸۴۲۰c۶۵۷c۶۸۵۷۸۶bee۸۸f۶۰۶d۴۹۴f۳d۵۰bcbc۶۱۶b۰f۶۴d۲۸۸۶edd۵۷۲f۲
• fd۸bb۸۰۸c۷b۱۶cffcb۸۳d۷e۸۶d۶۴۲b۵cb۶e۹۱۳e۲۲df۶۹c۸dd۰۳ce۴e۷۴۹۸f۵fdc
• f۴۶f۱۶۲ef۲۷۹cc۶e۹c۰۲۲cffe۳a۶۶۸۵d۰۰۱۵۲۴e۳۱۲e۷a۵f۲۳bd۲۴d۷۶fed۱fa۹۹
• ۶e۳۶۷e۱۰f۹c۰fb۸۱۸۳۹۴e۹۵۱۷ab۱۳c۱da۰۰b۲۵۴۵۶۰۲c۲۳bf۶ab۸۳e۹۳۰۶۳۰۷۶b۸
• ۳d۴۷b۹۹d۳۴e۱۶۹a۸۲۸۳۰۶۲۹۳۷c۳۷۳۲۶۴۸۲۹cf۶fe۱c۷fa۰bacee۱۳۵c۳۹۲ca۲۴bb
• d۱۱d۸۷۱b۰۷۵۲۰f۴۳۴۳۷۱۸۳fa۴۴bd۱۱۸c۰۱a۳c۴c۸۶cffe۰cc۷۳۴۳ae۹۰۳۸۵۶۵cf۱
• ۲e۸۴de۳۴۰۸۲۸۳۴۲۳ed۵۸۷۶۴۱۳۹eed۴dd۷e۳۴۳۱۱۵b۹۴۳b۵۸a۴۶e۲dc۲۵ca۲ef۳c۸
• ۷d۵۳۸۶۲۵۳d۴۰۳b۷۴e۸۶۶۵۸۶۹۹f۹a۶d۶۸۳b۷ac۳۰۶۵c۴e۲cdae۱۹۲b۳۲b۹ac۵۴edb
• ۲۰۸۵fca۳۶۸af۱۵a۱bd۵۴f۷۸۰۹dfee۷cdd۴d۷۳df۷af۸۸fa۵۳fe۵۳۴۱f۰۵۲۳ca۷ea
• ۹۷c۰۴۷۰۲aaa۰a۹۰۱۸cc۴۶ea۸۷۴e۷e۳۶۴۴۱۴۶ba۴d۶b۳b۳۰c۷۸a۶a۶۴۳۰۱۷۲b۱۳c۷
• ۴۵۵۲f۷۰d۹۴۷۴۳۲۰۶۴۸۹da۸۵da۲e۹eb۹f۱eb۳ad۰۱۷a۴۲edb۷a۶۰edb۶۹e۵c۱۵a۳۲
• ۷۵ca۹۵ae۳۱۷b۱e۸۴۸d۵۴bbb۰۱۷۹۸d۵b۶۱ebcaf۴۳۲۸b۳۹۴۰b۵d۵f۶۴۴a۰۱f۱۹۴۳a
• f۱۶۹b۸d۹۳ea۲۷ab۶ae۲۴c۲۶eaecc۰۳۹a۸۳۸bd۷e۷۴aef۱۸c۱e۷a۹۵۳۲۸۳c۴۱۸c۳۰
• c۱e۸۰۴۵۸ae۶۵۲dbf۴۰۹۸۱dfe۳۳bf۱۰۹d۱b۴c۸۵d۰affbd۱۶c۸d۱df۶be۹e۲۳۳e۰۵
• ۹e۰۸efc۷۳dc۹۱۴۵۳۵۸۸۹۸d۲۷۳۵c۵f۳۱d۴۵a۲۵۷۱۶۶۳c۷f۴۹۶۳abd۲۱۷ae۹۷۹c۷ca
دامنههای سرور C&C:
• cdncool[.]com
• dns.cdncool[.]com
• outhmail[.]com
• up.outhmail[.]com
• tcpdo[.]net
• sony۳۶[.]com
• md.sony۳۶[.]com
• newfacebk[.]com
• app.newfacebk[.]com
• windowsnetwork[.]org
• update.newfacebk[.]com
• netvovo.windowsnetwork[.]org
• honor۲۰۲۰[.]ga
• update.tcpdo[.]net
• adminsysteminfo[.]com
• md۵c[.]net
• linkdatax[.]com
• csip۶[.]biz
• adminloader[.]com
• outhmail[.]com
• cdncool[.]com
• www۳.mefound[.]com
• w۳.changeip[.]org
• www۵.zyns[.]com
آدرسهای IP:
• ۱۰۸,۶۱.۱۹۷[.]۱۷۲
• ۱۷۵,۴۵.۱۹۲[.]۲۳۴
• ۱۹۹,۲۴۷.۲۵[.]۱۱۰
• ۲۰۸,۱۱۵.۱۲۵[.]۴۳
• ۴۳,۲۲۴.۳۳[.]۱۳۰
• ۴۵,۱۲۵.۳۳[.]۲۱۹
• ۴۵,۳۲.۱۰۸[.]۱۱
• ۴۵,۳۲.۱۵۹[.]۱۶۸
• ۴۵,۳۲.۲۴[.]۳۹
• ۴۵,۳۲.۲۵[.]۱۰۷
• ۴۵,۳۲.۲۵۱[.]۷
• ۴۵,۳۲.۴۴[.]۵۲
• ۴۵,۳۲.۵۳[.]۲۵۰
انتهای پیام/