EYE Malware

De EYE Malware is een post-exploitatietool die is waargenomen als onderdeel van het arsenaal van een hackergroep die zich specifiek richt op transport- en rederijen uit Koeweit. In de gevallen waarin de EYE Malware werd gedetecteerd, werd deze ingezet nadat de beoogde systemen al waren gecompromitteerd door een andere malware van een groep hackers genaamd Hisoka.

De rol van de EYE Malware in de aanvalsketens was het opruimen van de sporen achtergelaten door de dreigende activiteiten van de dreigingsactoren. Kortom, het is een faalveilig apparaat dat is belast met het verwijderen van alle identificerende artefacten die zijn achtergelaten door ongeautoriseerde RDP-verbindingen (Remote Desktop Protocol) en het beëindigen van elk proces dat door de aanvallers is gemaakt.

Open uitvoering, de EYE Malware begint te scannen op inkomende inlogpogingen, lokaal of via externe RDP-sessies. Het geeft ook een overzicht van alle processen die zijn gemaakt nadat de EYE Malware is gestart. Wanneer het een verbinding detecteert, schrijft de EYE Malware de unieke string 'we wachten op je baas !!!' naar de console voordat u doorgaat met het activeren van de opschoningsroutines. Ten eerste beëindigt de dreiging alle applicaties en tools die door hackers worden geopend. Het gaat dan verder om alle recente documentbestanden te verwijderen door het gebruik van de springlijst via de opdracht:

Del / F / Q% APPDATA% \\ Microsoft \\ Windows \\ Recent \\ * & Del / F / Q% APPDATA% \\ Microsoft \\ Windows \\ Recent \\ Automatische bestemmingen \\ * & Del / F / Q % APPDATA% \\ Microsoft \\ Windows \\ Recent \\ Aangepaste bestemmingen \\ *

De EYE Malware schrapt ook bepaalde waarden uit specifieke registersleutels en het 'Default.rdp'-bestand om mogelijke signalen over de activiteiten van de bedreigende actor op de gecompromitteerde machine te verwijderen. De registers waarop de malware is gericht, zijn:

• Software \\ Microsoft \\ Terminal Server-client \\ Standaard
• SOFTWARE \\ Microsoft \\ Windows \\ CurrentVersion \\ Explorer \\ WordWheelQuery
• SOFTWARE \\ Microsoft \\ Windows \\ CurrentVersion \\ Explorer \\ TYPEDPATHS
• Software \\ Microsoft \\ Windows \\ CurrentVersion \\ Explorer \\ RunMRU

Ten slotte, als de laatste stap van het programmeren, zal de EYE Malware proberen zichzelf van het beoogde systeem te verwijderen door het commando taskkill / f / im <EYE's uitvoerbare bestandsnaam> & choice / CY / N / DY / T 3 & Del 'uit te voeren >. '