backdoor

Mandiant Threat Intelligence ha rilevato una nuova sofisticata backdoor, caricata in un repository pubblico, da parte di un’entità di base negli Stati Uniti.

Scritta in GO, la backdoor SUNSHUTTLE legge un file di configurazione incorporato o locale, comunica con il server di commando e controllo su HTTPS e supporta comandi come aggiornamento remoto della sua configurazione, caricamento e download di file ed esecuzione di comandi arbitrari.

Mandiant ha anche ricevuto resoconti secondo cui la backdoor di secondo livello è stata utilizzata unitamente agli strumenti impiegati da UNC2452 per effettuare attività di ricognizione sul network ma, al momento, non ha proceduto a verificare, in maniera indipendente, questa connessione.