Grav malware

Sepulcher Malware er navnet på en ny malware-familie, der er observeret leveret som nyttelast i to separate angrebskampagner. Den første kampagne brugte COVID-19-relaterede lokker til at narre folk til at åbne en vedhæftet fil ved hjælp af malware og var rettet mod forskellige europæiske enheder lige fra nonprofit-politiske forskningsorganisationer til diplomatiske og lovgivende institutioner samt globale organisationer, der beskæftiger sig med økonomiske anliggender . Den anden phishing-kampagne med Graver var rettet mod tibetanske dissidenter. På trods af de to målgruppers radikalt forskellige karakter opdagede forskere eksisterende forbindelser mellem de to, såsom operatør-e-mail-konti, der tidligere har været brugt af kinesiske ATP-grupper (Advanced Persistent Threat). Faktisk er der konsekvente beviser for, at synderen bag begge angrebskampagner er en kinesisk hackergruppe kaldet TA413.

Graven Malware distribueres via phishing-e-mails

I angrebet mod de europæiske organisationer besluttede TA413 at drage fordel af forvirringen og usikkerheden omkring COVID-19-pandemien og udformede de korrupte e-mails til at efterligne WHOs (Verdenssundhedsorganisationens) kritiske beredskab, beredskab og reaktion på COVID-19, Midlertidig vejledning 'dokument. Phishing-e-mails bar en beskadiget RTF-fil, der, når den blev udført, udnyttede en Microsoft Equation Editor-sårbarhed til at installere et RTF-objekt under dække af Windows- metafil (WMF) til et forudbestemt bibliotek placeret på % \ AppData \ Local \ Temp \ wd4sx .wmf . Udførelse af WMF-filen resulterer i levering af graven-nyttelasten til den inficerede maskine.

I phishing-angrebet mod tibetansk-relaterede enheder brugte ATP413 et kompromitteret PowerPoint (PPXS) ved navn 'TIBETANER, DER VÆRRET AF DYDLIG VIRUS, SOM BÆRER EN PISTOL OG TALER KINESE.ppsx.' Når den udføres, starter ppsx-filen en forbindelse til IP-adressen IP 118.99.13.4 og downloader Sepulcher-malware-nyttelasten med navnet 'file.dll.' Når den er gemt på det kompromitterede system, omdøbes nyttelastfilen til 'credential.dll.'

Graven Malware er en potent RAT  

Mens Sepulcher-malware muligvis ikke anvender noget aldrig før set teknologi, er det stadig en truende Remote Access Trojan (RAT), der er udstyret med adskillige dataindsamlings- og systemmanipulationsfunktioner. Når den korrupte vedhæftede e-mail-vedhæftning udføres, taber den en fil med navnet 'wd4sx.wmf', der indeholder Sepulcher Malware-nyttelasten og en nyttelastdropper. Dropperen har form af en midlertidig fil ved navn 'OSEB979.tmp', og dens rolle er at levere Sepulcher-malware som en 'credential.dll' til mappen % AppData% \ Roaming \ Identities \ Credential.dll . Malwaren opnår vedholdenhed ved at bruge rundlll32.exe og udnytte eksportfunktionen 'GetObjectCount' via kommandoen:

schtasks / create / tr "rundll32.exe% APPDATA% \ Identities \ Credential.dll, GetObjectCount" / tn "lemp" / sc HOURLY

Sepulcher Malware opretter forbindelse til IP-adressen 107.151.194.197 gennem tre forskellige porte - 80, 443 og 8080. Efter modtagelse af specifikke kommandoer kan Sepulcher Malware begynde at indsamle data fra det inficerede system, oprette en omvendt kommandoskal samt manipulere filer og mapper. Blandt de oplysninger, der er indsamlet af Sepulcher Malware, er detaljer om de drev, der er forbundet til den kompromitterede enhed, bibliotekstier, kørende processer, tjenester og filoplysninger.