Malwarový hrob

Sepulcher Malware je název pro novou rodinu malwaru, u které bylo pozorováno, že je doručována jako užitečné zatížení ve dvou samostatných útočných kampaních. První kampaň používala návnady související s COVID-19, aby přiměla lidi k otevření přílohy e-mailu s malwarem, a byla zaměřena na různé evropské subjekty, od neziskových organizací zabývajících se výzkumem politiky až po diplomatické a legislativní instituce, stejně jako globální organizace zabývající se ekonomickými záležitostmi. . Druhá phishingová kampaň nesoucí Sepulcher byla zaměřena na tibetské disidenty. Navzdory radikálně odlišné povaze těchto dvou cílových skupin objevili vědci existující spojení mezi těmito dvěma cíli, například e-mailové účty operátorů, které dříve používaly čínské skupiny ATP (Advanced Persistent Threat). Ve skutečnosti existují konzistentní důkazy o tom, že viníkem obou útočných kampaní je čínská hackerská skupina s názvem TA413.

Malware Sepulcher je distribuován prostřednictvím phishingových e-mailů

Při útoku proti evropským organizacím se TA413 rozhodla využít zmatku a nejistoty kolem pandemie COVID-19 a vytvořila poškozené e-maily tak, aby napodobovaly kritickou připravenost, připravenost a reakci akcí WOV (Světová zdravotnická organizace) pro COVID-19, Prozatímní pokyny. Phishingové e-maily obsahovaly poškozený soubor RTF, který po spuštění zneužil chybu zabezpečení aplikace Microsoft Equation Editor k instalaci objektu RTF pod rouškou meta-souboru Windows (WMF) do předem určeného adresáře umístěného v adresáři % \ AppData \ Local \ Temp \ wd4sx .wmf . Provedení souboru WMF má za následek dodání užitečného zatížení Sepulcheru na infikovaný počítač.

Při phishingovém útoku proti tibetským entitám použila ATP413 kompromitovaný PowerPoint (PPXS) s názvem „TIBETANY, KTERÉ JSOU TÍŽENI SMRTLÝM VIRUSEM, KTERÝ NESÍ STRANU A HOVORÍ ČÍNSKO.ppsx.“ Po spuštění inicializuje soubor ppsx připojení k IP adrese IP 118.99.13.4 a stáhne užitečné zatížení malwaru Sepulcher s názvem 'file.dll.' Po uložení do napadeného systému se soubor užitečného zatížení přejmenuje na „credential.dll“.

Malware pro Sepulcher je silný RAT  

I když malware Sepulcher nemusí využívat nějakou dosud neviděnou technologii, stále se jedná o hrozivý trojský kůň vzdáleného přístupu (RAT), který je vybaven řadou funkcí sběru dat a manipulace se systémem. Když je poškozená e-mailová příloha spuštěna, zruší soubor s názvem 'wd4sx.wmf', který obsahuje užitečné zatížení Sepulcher Malware a kapátko užitečné zatížení. Kapátko má podobu dočasného souboru s názvem 'OSEB979.tmp' a jeho úlohou je doručovat malware Sepulcher jako soubor 'credential.dll' do adresáře % AppData% \ Roaming \ Identities \ Credential.dll . Malware dosahuje vytrvalosti pomocí rundlll32.exe a využitím funkce exportu 'GetObjectCount' pomocí příkazu:

schtasks / create / tr "rundll32.exe% APPDATA% \ Identity \ Credential.dll, GetObjectCount" / tn "lemp" / sc ZA HODINU

Software Sepulcher Malware se připojuje k adrese IP 107.151.194.197 prostřednictvím tří různých portů - 80, 443 a 8080. Po obdržení konkrétních příkazů může software Sepulcher Malware začít shromažďovat data z infikovaného systému, vytvářet reverzní příkazový shell a manipulovat soubory a adresáře. Mezi informace shromážděné softwarem Sepulcher Malware patří podrobnosti o jednotkách připojených ke kompromitovanému zařízení, cesty k adresářům, spuštěné procesy, služby a informace o souborech.