Licenser til flere enheder (volumenrabatter)

Skift region

English Dansk Deutsch Español Français Italiano Nederlands Polski Português Svenska Türkçe Русский हिन्दी 日本語 汉语 漢語
Threat Database Malware KilllSomeOne Malware

KilllSomeOne Malware

Med Mezo i Malware
Oversæt til:
Dansk

En gruppe målrettede angreb mod ikke-statslige og andre organisationer baseret i Myanmar er blevet opdaget af malware-forskere. Mens de ikke har været i stand til at identificere den nøjagtige identitet af den trusselsaktør, der er ansvarlig for angrebene, er der blevet afdækket nok beviser til at antyde inddragelse af en kinesisk APT-gruppe.

Fire forskellige scenarier er hidtil registreret som en del af de skadelige operationer. Alle involverer indlæsningsteknikker på DLL-siden og refererer til en lignende PDB-sti samt en mappe ved navn KillSomeOne. Koden og raffinementet mellem de forskellige angreb viser en stor grad af uoverensstemmelse. Nogle inkorporerer enkle implementeringer i kodning, mens de også indeholder næsten amatørbeskeder gemt i deres prøver. Imidlertid viser operationens meget målrettede karakter og implementeringen af malware-nyttelastene karakteristikaene for en seriøs APT-gruppe (Advanced Persistent Threat).

DLL side-loading og truende nyttelast

Brug af DLL side-loading er ikke en sjælden begivenhed. Når alt kommer til alt, har teknikken eksisteret siden mindst 2013. Den involverer brugen af en beskadiget DLL-fil, der spoofer en legitim fil. Som et resultat udnyttes legitime Windows-processer og eksekverbare filer til at indlæse og udføre den beskadigede kode, der er droppet af trusselsaktøren.

I to af de fire observerede angrebsbølger blev nyttelasten gemt i en fil ved navn Groza_1.dat. Det er en PE-loader shellcode, der er ansvarlig for at dekryptere den endelige nyttelast, indlæse den i hukommelsen og derefter udføre den. Denne endelige nyttelast består af en DLL-fil, der bærer en simpel fjernkommandoskal, der er i stand til at oprette forbindelse til en server med 160.20.147.254 IP-adressen på port 9999.

De to andre scenarier for KillSomeOne DLL side-loading var mere sofistikerede betydeligt. I stedet for en simpel skal involverede de en kompleks installatør, der var i stand til at etablere en vedholdenhedsmekanisme og forberede miljøet til levering af den endelige nyttelast. Mens nyttelastfilerne var forskellige - adobe.dat og x32bridge.dat, leverede de næsten identiske eksekverbare filer, der også havde det samme PDB-bad.

Trending

Mest sete

Indlæser...