Threat Database Malware Zlonamjerni softver Sepulcher

Zlonamjerni softver Sepulcher

Sepulcher malware naziv je koji je dodijeljen novoj obitelji zlonamjernog softvera za koji je primijećeno da se isporučuje kao korisni teret u dvije odvojene kampanje napada. Prva kampanja koristila je varalice povezane s COVID-19 kako bi ljude natjerala na otvaranje privitka e-pošte s malwareom i bila je usmjerena na razne europske entitete, od neprofitnih istraživačkih organizacija do diplomatskih i zakonodavnih institucija, kao i globalne organizacije koje se bave ekonomskim poslovima . Druga phishing kampanja koja je vodila Sepulcher bila je usmjerena na tibetanske disidente. Unatoč radikalno različitoj prirodi dviju ciljnih skupina, istraživači su otkrili postojeće veze između njih dvije, kao što su računi e-pošte operatora koje su ranije koristile kineske ATP (Advanced Persistent Threat) skupine. Zapravo, postoje dosljedni dokazi da je krivac za obje kampanje napada kineska hakerska skupina nazvana TA413.

Zlonamjerni softver Sepulcher distribuira se putem phishing poruka e-pošte

U napadu na europske organizacije, TA413 je odlučio iskoristiti zbunjenost i nesigurnost oko pandemije COVID-19 i stvorio je oštećene e-adrese kako bi oponašao WHO-ove (Svjetske zdravstvene organizacije) 'Kritične aktivnosti spremnosti, spremnosti i odgovora za COVID-19, Dokument o privremenim smjernicama. Phishing e-poruke nosile su oštećenu RTF datoteku koja je, kada je izvršena, iskoristila ranjivost Microsoft Equation Editor za instaliranje RTF objekta pod maskom Windows meta-datoteke (WMF) u unaprijed određeni direktorij smješten na % \ AppData \ Local \ Temp \ wd4sx .wmf . Izvršenje WMF datoteke rezultira isporukom korisnog tereta Sepulchera na zaraženi stroj.

U phishing napadu protiv entiteta povezanih s Tibetanom, ATP413 je koristio kompromitirani PowerPoint (PPXS) pod nazivom "TIBETANE POGADA SMRTNI VIRUS KOJI NOSI PIŠTOLJ I GOVORI KINESKI.ppsx." Kada se izvrši, datoteka ppsx pokreće vezu s IP adresom IP 118.99.13.4 i preuzima korisni teret zlonamjernog softvera Sepulcher pod nazivom "file.dll". Nakon spremanja na ugroženi sustav, datoteka korisnog tereta preimenuje se u 'credential.dll'.

Malware Sepulcher je moćan RAT  

Iako zlonamjerni softver Sepulcher možda ne koristi neku nikad prije viđenu tehnologiju, to je još uvijek prijeteći Trojanski program za daljinski pristup (RAT) koji je opremljen brojnim funkcijama prikupljanja podataka i manipulacije sustavom. Kada se izvrši oštećeni privitak e-pošte, ona ispušta datoteku pod nazivom 'wd4sx.wmf' koja sadrži korisni teret Sepulcher malware-a i kapaljku korisnog tereta. Kapaljka ima oblik privremene datoteke pod nazivom "OSEB979.tmp", a njezina je uloga isporučiti zlonamjerni softver Sepulcher kao "credential.dll" u direktorij % AppData% \ Roaming \ Identities \ Credential.dll . Zlonamjerni softver postiže postojanost korištenjem rundlll32.exe i iskorištavanjem izvozne funkcije 'GetObjectCount' putem naredbe:

schtasks / create / tr "rundll32.exe% APPDATA% \ Identities \ Credential.dll, GetObjectCount" / tn "lemp" / sc PO SATU

Zlonamjerni softver Sepulcher povezuje se s IP adresom 107.151.194.197 putem tri različita porta - 80, 443 i 8080. Po primanju određenih naredbi, zlonamjerni softver Sepulcher može započeti prikupljanje podataka iz zaraženog sustava, stvoriti obrnutu naredbenu ljusku, kao i manipulirati datoteke i direktorije. Među informacijama koje prikuplja malware Sepulcher nalaze se detalji o pogonima povezanim s ugroženim uređajem, stazama direktorija, pokrenutim procesima, uslugama i podacima o datotekama.

U trendu

Nagledanije

Učitavam...