BendyBear: трудно обнаружить и загрузчик вредоносных полезных нагрузок. [Исследование субботы]

Гость Джен Миллер-Осборн из команды Unit 42 компании Palo Alto Networks присоединяется к нам, чтобы обсудить их исследование по поводу BendyBear. Это высокомодульное, высокосовершенное и более 10 000 байтов машинного кода. Поведение кода и его функции тесно коррелируют с поведением и функциями семейства вредоносных программ WaterBear, которое активно с 2009 года. Это вредоносное ПО связано с киберэспионажной группой BlackTech, которую многие в более широком сообществе исследователей угроз оценивают как имеющую связи с китайским правительством, и считается ответственной за recent атаки на несколько правительственных организаций Восточной Азии. Из-за сходства с WaterBear и полиморфной природы кода команда Unit 42 назвала этот новый китайский шеллкод «BendyBear». Он стоит в отдельном классе в плане своей сложности, инженерной разработки и трудности обнаружения, что делает его одним из самых сложных и труднообнаруживаемых образцов шеллкода, используемых Advanced Persistent Threat (APT). Исследование можно найти здесь: BendyBear: Новый китайский шеллкод, связанный с киберэспионажной группой BlackTech