KilllSomeOne Malware

गैर-सरकारी और म्यांमार स्थित अन्य संगठनों के खिलाफ लक्षित हमलों के एक समूह का पता मैलवेयर शोधकर्ताओं द्वारा लगाया गया है। हालांकि वे हमलों के लिए जिम्मेदार खतरों के अभिनेता की सटीक पहचान को इंगित नहीं कर पाए हैं, चीनी एपीटी समूह की भागीदारी का सुझाव देने के लिए पर्याप्त सबूत उजागर किए गए हैं।

चार अलग-अलग परिदृश्यों को अब तक हानिकारक संचालन के भाग के रूप में दर्ज किया गया है। इन सभी में DLL- साइड लोडिंग तकनीक शामिल है और एक समान PDB पथ, साथ ही KillSomeOne नामक एक फ़ोल्डर का संदर्भ है। विभिन्न हमलों के बीच कोड और परिष्कार विसंगति की एक बड़ी डिग्री दिखाते हैं। कुछ कोडिंग में सरल कार्यान्वयन को शामिल करते हैं, जबकि उनके नमूनों में छिपे हुए लगभग शौकिया संदेश भी होते हैं। हालांकि, एक ही समय में, ऑपरेशन की अत्यधिक लक्षित प्रकृति और मैलवेयर पेलोड की तैनाती एक गंभीर एपीटी (उन्नत निरंतर खतरा) समूह की विशेषताओं को दर्शाती है।

DLL साइड-लोडिंग और धमकी देने वाले पेलोड

डीएलएल साइड-लोडिंग का उपयोग दुर्लभ घटना नहीं है। आखिरकार, तकनीक कम से कम 2013 के आसपास रही है। इसमें एक भ्रष्ट DLL फ़ाइल का उपयोग शामिल है जो एक वैध को खराब कर रहा है। नतीजतन, वैध विंडोज प्रक्रियाओं और निष्पादन योग्य खतरों के अभिनेता द्वारा गिराए गए दूषित कोड को लोड करने और निष्पादित करने के लिए शोषण किया जाता है।

चार में से दो मनाया तरंगों में, पेलोड को Groza_1.dat नामक फ़ाइल में संग्रहीत किया गया था। यह एक पीई लोडर शेलकोड है जो अंतिम पेलोड को डिक्रिप्ट करने, मेमोरी में लोड करने और फिर इसे निष्पादित करने के लिए जिम्मेदार है। इस अंतिम पेलोड में एक DLL फ़ाइल होती है जो पोर्ट पर 9999 में 160.20.147.254 आईपी पते के साथ सर्वर से कनेक्ट करने में सक्षम एक साधारण रिमोट कमांड शेल ले जाती है।

KillSomeOne DLL के अन्य दो परिदृश्य लोड-लोडिंग में अधिक परिष्कृत थे। एक साधारण खोल के बजाय, वे एक जटिल इंस्टॉलर को शामिल करते हैं जो एक दृढ़ता तंत्र स्थापित करने और अंतिम पेलोड के वितरण के लिए वातावरण तैयार करने में सक्षम है। जबकि पेलोड फाइलें अलग-अलग थीं - adobe.dat और x32bridge.dat, उन्होंने लगभग समान निष्पादनयोग्य वितरित किए जिनमें समान पीडी स्नान था।