KerrDown
KerrDown er en ny familie af malware-downloadere oprettet og ansat af hackergruppen OceanLotus. Flere angrebskampagner er blevet knyttet til OceanLotus- aktiviteter. Deres mål har ofte været på global skala, men de fleste af koncernens aktiviteter ser ud til at være koncentreret om APAC-regionen. Ofrene kommer fra en bred vifte af industrier, udenlandske regeringer, diplomatiske agenturer og enheder tilknyttet Vietnam. Faktisk har den seneste kampagne, der involverer KerrDown-downloaderen, været rettet mod enheder fra Vietnam eller vietnamesisk-talende.
To hovedangrebsvektorer er blevet identificeret - via phishing-e-mails, der bærer våbeniserede Word-dokumenter eller ved at levere RAR-arkiver, der indeholder ægte apps med DLL-sideindlæsning.
Når offeret udfører Word-dokumentet, beder en besked på vietnamesisk dem om at aktivere makroer. Makroen kontrollerer det kompromitterede system og bestemmer hvilken af to .dll-filer der skal implementeres på det afhængigt af om det har en 32-bit arkitektur eller en 64-bit en. Den valgte DLL-fil slippes derefter et forudbestemt sted ved 'Brugere \ Administrator \ AppData \ Roaming \' som en fil med navnet 'main_background.png.'
Det første trin, der udføres af KerrDown, er at hente den vigtigste malware-nyttelast, dekryptere den ved hjælp af DES-algoritmen og derefter udføre den i hukommelsen med det samme. Denne teknik minimerer antallet af malware-trusler, da kun KerrDown er gemt på det kompromitterede system.
Nyttelasten leveret af KerrDown er en variant af en populær stamme af malware kaldet Cobalt Strike Beacon. OceanLotus har implementeret Cobalt Strike i flere af deres tidligere kampagner.
Hvad angår KerrDown-varianter, der formeres gennem RAR-arkiver, er slutmålet det samme - levering af Cobalt Strike Beacon, men trinnene for at komme der adskiller sig markant. For det første har RAR-filerne navne på vietnamesisk, der betyder 'klagebrev' og indeholder et Microsoft Word-dokument fra en ældre version af Word. Selve dokumentet har også et vietnamesisk navn, der, når det oversættes, betyder 'Lær mere om, hvordan du bruger din virksomhed.' De beskadigede filer i KerrDown tabes gennem en DLL side-loading-teknik. DLL'en fortsætter derefter med at følge en flertrins kæde af shellcode-kommandoer, hvor hvert trin bruger forskellige teknikker til at maskere det efterfølgende trin. Den indlejrede Cobalt Strike Beacon DLL indlæses endelig i hukommelsen og udføres af den fjerde shellcode i sekvensen.
