Licenze multi-dispositivo (sconti per quantità)

Cambia regione

English Dansk Deutsch Español Français Italiano Nederlands Polski Português Svenska Türkçe Русский हिन्दी 日本語 汉语 漢語
Threat Database Malware KilllSomeOne Malware

KilllSomeOne Malware

Entro Mezo nel Malware
Traduci in:
Italiano

Un gruppo di attacchi mirati contro organizzazioni non governative e altre organizzazioni con sede in Myanmar è stato rilevato da ricercatori di malware. Sebbene non siano stati in grado di individuare l'esatta identità dell'attore della minaccia responsabile degli attacchi, sono state scoperte prove sufficienti per suggerire il coinvolgimento di un gruppo APT cinese.

Finora sono stati registrati quattro diversi scenari nell'ambito delle operazioni dannose. Tutti implicano tecniche di caricamento lato DLL e fanno riferimento a un percorso PDB simile, nonché a una cartella denominata KillSomeOne. Il codice e la sofisticazione tra i diversi attacchi mostrano un grande grado di discrepanza. Alcuni incorporano semplici implementazioni nella codifica mentre contengono anche messaggi quasi amatoriali nascosti nei loro campioni. Tuttavia, allo stesso tempo, la natura altamente mirata dell'operazione e la distribuzione dei payload del malware mostrano le caratteristiche di un serio gruppo APT (Advanced Persistent Threat).

Il caricamento laterale della DLL e i payload minacciosi

L'utilizzo del caricamento laterale delle DLL non è raro. Dopotutto, la tecnica esiste almeno dal 2013. Implica l'uso di un file DLL danneggiato che ne falsifica uno legittimo. Di conseguenza, i processi e gli eseguibili legittimi di Windows vengono sfruttati per caricare ed eseguire il codice danneggiato rilasciato dall'attore della minaccia.

In due delle quattro ondate di attacco osservate, il payload è stato archiviato in un file denominato Groza_1.dat. È uno shellcode del caricatore PE che è responsabile della decrittografia del payload finale, del caricamento in memoria e dell'esecuzione. Questo payload finale è costituito da un file DLL che trasporta una semplice shell di comandi remoti in grado di connettersi a un server con l'indirizzo IP 160.20.147.254 sulla porta 9999.

Gli altri due scenari di caricamento laterale della DLL KillSomeOne erano più sofisticati in modo significativo. Invece di una semplice shell, hanno coinvolto un programma di installazione complesso in grado di stabilire un meccanismo di persistenza e preparare l'ambiente per la consegna del payload finale. Sebbene i file del payload fossero diversi - adobe.dat e x32bridge.dat, fornivano eseguibili quasi identici che avevano anche lo stesso PDB.

Tendenza

I più visti

Caricamento in corso...