Hauakivi pahavara

Sepulcheri pahavara on nimi uuele pahavara perekonnale, mida on täheldatud kahes eraldi rünnakukampaanias kasuliku koormana. Esimeses kampaanias kasutati COVID-19-ga seotud meelitusi, et meelitada inimesi avama pahavaraga seotud e-posti manust ja see oli suunatud erinevatele Euroopa üksustele, alates mittetulunduspoliitika uurimisorganisatsioonidest kuni diplomaatiliste ja seadusandlike institutsioonideni, samuti ülemaailmsetesse majandusküsimustega tegelevatesse organisatsioonidesse. . Teine hauakampaania, mis korraldas Hauakambrit, oli suunatud Tiibeti dissidentidele. Vaatamata kahe sihtrühma radikaalselt erinevale olemusele avastasid teadlased nende kahe vahel olemasolevad seosed, näiteks operaatori e-posti kontod, mida Hiina ATP (Advanced Persistent Threat) rühmad on varem kasutanud. Tegelikult on järjepidevaid tõendeid selle kohta, et mõlema rünnakukampaania taga on Hiina häkkerite rühmitus nimega TA413.

Hauakambri pahavara levitatakse andmepüügi e-kirjade kaudu

Rünnakus Euroopa organisatsioonide vastu otsustas TA413 ära kasutada COVID-19 pandeemiaga seotud segadust ja ebakindlust ning kujundas rikutud e-kirjad jäljendama WHO (Maailma Terviseorganisatsioon) kriitilist valmisolekut, valmisolekut ja reageerimismeetmeid COVID-19 jaoks, Ajutiste juhiste dokument. Andmepüügimeilidel oli rikutud RTF-fail, mis selle käivitamisel kasutas Microsofti võrrandiredaktori haavatavust, et installida Windowsi metafaili (WMF) varjus RTF-objekt ettemääratud kataloogi, mis asub aadressil % \ AppData \ Local \ Temp \ wd4sx .wmf . WMF-faili käivitamine toob kaasa Sepulcheri kasuliku koorma nakatunud masinasse.

Tiibetiga seotud üksuste vastu suunatud andmepüügirünnakus kasutas ATP413 kompromiteeritud PowerPointi (PPXS), mille nimi oli "TIBETASLASED, MIDA LÕPETAKSE SURMA VIIRUS, KES kannab relva ja räägib Hiina. Ppsx." Selle käivitamisel loob ppsx-fail ühenduse IP-aadressiga IP 118.99.13.4 ja laadib alla Sepulcheri pahavara kasuliku koormuse nimega 'file.dll'. Pärast ohustatud süsteemi salvestamist nimetatakse kasuliku faili nimeks 'credential.dll.

Hauakambri pahavara on tugev RAT  

Ehkki Sepulcheri pahavara ei pruugi kasutada kunagi varem nägemata tehnoloogiat, on see siiski ähvardav kaugjuurdepääsu Trooja (RAT), mis on varustatud arvukate andmete kogumise ja süsteemiga manipuleerimise funktsioonidega. Kui rikutud e-posti manus on täidetud, viskab see faili nimega 'wd4sx.wmf', mis sisaldab Sepulcheri pahavara kasulikku koormust ja kasuliku koormuse tilgutit. Tilguti on ajutise faili nimega „OSEB979.tmp” ja selle ülesanne on edastada Sepulcheri pahavara nimega „credential.dll” kataloogi % AppData% \ Roaming \ Identities \ Credential.dll . Pahavara saavutab püsivuse, kasutades rundlll32.exe ja kasutades käsu kaudu ekspordifunktsiooni "GetObjectCount":

schtasks / create / tr "rundll32.exe% APPDATA% \ Identities \ Credential.dll, GetObjectCount" / tn "lemp" / sc TUNNI

Sepulcheri pahavara ühendub 107.151.194.197 IP-aadressiga kolme erineva pordi kaudu - 80, 443 ja 8080. Konkreetsete käskude saamisel võib Sepulcheri pahavara hakata nakatunud süsteemist andmeid koguma, luua vastupidise käsukesta ja ka manipuleerida failid ja kataloogid. Sepulcheri pahavara kogutud teabe hulgas on üksikasju rikutud seadmega ühendatud draivide, kataloogiteede, töötavate protsesside, teenuste ja failide kohta.