Haudan haittaohjelma

Sepulcher Malware on nimi uudelle haittaohjelmaperheelle, jonka on havaittu toimitettavan hyötykuormana kahdessa erillisessä hyökkäyskampanjassa. Ensimmäisessä kampanjassa käytettiin COVID-19: een liittyviä houkutuksia huijaamaan ihmiset avaamaan haittaohjelmilla sidottu sähköpostiliite, ja se oli suunnattu useille eurooppalaisille yhteisöille, voittoa tavoittelemattomista tutkimusorganisaatioista diplomaatti- ja lainsäädäntöelimiin sekä talousasioihin liittyviin maailmanlaajuisiin järjestöihin. . Toinen hautauskampanja, johon osallistui hautausmaa, kohdistui tiibetiläisiin toisinajattelijoihin. Huolimatta kahden kohderyhmän täysin erilaisesta luonteesta tutkijat löysivät olemassa olevat yhteydet näiden kahden välillä, kuten operaattorin sähköpostitilit, joita kiinalaiset ATP (Advanced Persistent Threat) -ryhmät ovat käyttäneet aiemmin. Itse asiassa on olemassa johdonmukaista näyttöä siitä, että molempien hyökkäyskampanjoiden takana on kiinalainen hakkereiden ryhmä nimeltä TA413.

Sepulcher-haittaohjelma jaetaan tietojenkalastelusähköpostien kautta

Eurooppalaisia järjestöjä vastaan tehdyssä hyökkäyksessä TA413 päätti hyödyntää COVID-19-pandemian ympärillä olevaa hämmennystä ja epävarmuutta ja muotoili vioittuneet sähköpostit jäljittelemään WHO: n (Maailman terveysjärjestö) kriittisiä valmiuksia, valmiuksia ja vastaustoimia COVID-19: lle, Väliaikaisten ohjeiden asiakirja. Tietojenkalasteluviestit lähettivät vioittuneen RTF-tiedoston, joka suoritettuaan Microsoft Equation Editorin heikkoutta hyödyntäen asensi RTF-objektin Windowsin metatiedoston (WMF) varjolla ennalta määritettyyn hakemistoon, joka sijaitsee osoitteessa % \ AppData \ Local \ Temp \ wd4sx .wmf . WMF-tiedoston suorittaminen johtaa Sepulcher-hyötykuorman toimittamiseen tartunnan saaneeseen koneeseen.

Tiibetiläisiin liittyviin yhteisöihin kohdistuvaan tietojenkalasteluhyökkäykseen ATP413 käytti vaarantunutta PowerPointia (PPXS), jonka nimi oli 'TIBETANIT, JOITA TAPAHTUI AIKAISESTI VIRUS, JOKA KOSKEE ASEEN JA KIELTÄÄ KIINAA .ppsx.' Suoritettuaan ppsx-tiedosto muodostaa yhteyden IP-osoitteeseen IP 118.99.13.4 ja lataa Sepulcher-haittaohjelman hyötykuorman nimeltä file.dll. Kun hyötykuormatiedosto on tallennettu vaarantuneeseen järjestelmään, se nimetään uudelleen nimellä credential.dll.

Sepulcher-haittaohjelma on voimakas RAT  

Vaikka Sepulcher-haittaohjelma ei välttämättä käytä koskaan ennen näkemätöntä tekniikkaa, se on silti uhkaava etäkäyttöinen troijalainen (RAT), joka on varustettu lukuisilla tiedonkeruu- ja järjestelmänhallintatoiminnoilla. Kun vioittunut sähköpostin liitetiedosto suoritetaan, se pudottaa tiedoston nimeltä 'wd4sx.wmf', joka sisältää Sepulcher-haittaohjelman hyötykuorman ja hyötykuoran pudotuslasin. Pisara on väliaikaisen tiedoston nimeltä OSEB979.tmp, ja sen tehtävänä on toimittaa Sepulcher-haittaohjelma "credential.dll" -luettelona hakemistoon % AppData% \ Roaming \ Identities \ Credential.dll . Haittaohjelma saavuttaa pysyvyyden käyttämällä rundlll32.exe-tiedostoa ja hyödyntämällä GetObjectCount-vientitoimintoa komennolla:

schtasks / create / tr "rundll32.exe% APPDATA% \ Identities \ Credential.dll, GetObjectCount" / tn "lemp" / sc TUNTI

Sepulcher-haittaohjelma muodostaa yhteyden 107.151.194.197-IP-osoitteeseen kolmen eri portin - 80, 443 ja 8080 - kautta. Saatuaan tiettyjä komentoja, Sepulcher-haittaohjelma voi alkaa kerätä tietoja tartunnan saaneesta järjestelmästä, luoda käänteisen komentokuoren sekä manipuloida tiedostot ja hakemistot. Sepulcher-haittaohjelman keräämien tietojen joukossa on tietoja vaurioituneeseen laitteeseen liitetyistä asemista, hakemistopolkuista, käynnissä olevista prosesseista, palveluista ja tiedostotiedoista.