KerrDown

KerrDown è una nuova famiglia di downloader di malware creati e impiegati dal gruppo di hacker OceanLotus. Più campagne di attacco sono state collegate alle attività di OceanLotus. I loro obiettivi sono stati spesso su scala globale, ma la maggior parte delle operazioni del gruppo sembra essere concentrata nella regione APAC. Le vittime provengono da una vasta gamma di industrie, governi stranieri, agenzie diplomatiche ed entità legate al Vietnam. In effetti, l'ultima campagna che ha coinvolto il downloader di KerrDown ha preso di mira entità vietnamite o di lingua vietnamita.

Sono stati identificati due principali vettori di attacco: tramite e-mail di phishing che trasportano documenti Word con armi o tramite la consegna di archivi RAR contenenti app autentiche con caricamento laterale DLL.

Quando la vittima esegue il documento di Word, un messaggio in vietnamita chiede loro di abilitare le macro. La macro controlla il sistema compromesso e determina quale dei due file .dll distribuire su di esso a seconda che abbia un'architettura a 32 bit o una a 64 bit. La DLL scelta viene quindi rilasciata in una posizione predeterminata in "Users \ Administrator \ AppData \ Roaming \" come file denominato "main_background.png".

Il primo passaggio eseguito dal deployed da KerrDown è quello di recuperare il payload principale del malware, decrittarlo tramite l'utilizzo dell'algoritmo DES e quindi eseguirlo immediatamente in memoria. Questa tecnica riduce al minimo l'impronta delle minacce malware poiché solo KerrDown viene salvato sul sistema compromesso.

Il payload fornito da KerrDown è una variante di un popolare ceppo di malware chiamato Cobalt Strike Beacon. OceanLotus ha schierato Cobalt Strike in molte delle loro campagne precedenti.

Per quanto riguarda le varianti di KerrDown propagate attraverso archivi RAR, l'obiettivo finale è lo stesso: la consegna di Cobalt Strike Beacon, ma i passaggi per arrivarci differiscono in modo significativo. Innanzitutto, i file RAR hanno nomi in vietnamita che significano "lettera di reclamo" e contengono un documento Microsoft Word da una versione precedente di Word. Il documento stesso ha anche un nome vietnamita che, se tradotto, significa "Ulteriori informazioni su come utilizzare la tua azienda". I file danneggiati di KerrDown vengono eliminati tramite una tecnica di caricamento laterale della DLL. La DLL procede quindi a seguire una catena in più passaggi di comandi shellcode, con ogni fase che utilizza varie tecniche per mascherare il passaggio successivo. La DLL Cobalt Strike Beacon incorporata viene finalmente caricata in memoria ed eseguita dal quarto shellcode nella sequenza.