CSPY Downloader

CSPY Downloader Beschrijving

De CSPY Downloader is een nieuwe op maat gemaakte downloader-malware waarvan is vastgesteld dat deze wordt ingezet als onderdeel van het arsenaal van de Noord-Koreaanse hackergroep Kimsuky. De CSPY Downloader vervult de rol van een malwaredropper in de eerste fase die de malwarepayload van de tweede fase levert. De CSPY Downloader voert ook een breed scala aan anti-analyse- en anti-sandbox-technieken uit die zijn ontworpen om elke poging om de bedreigende monsters te analyseren te belemmeren.

De CSPY Downloader wordt verspreid via phishing-e-mails met vergiftigde Word-documenten. Het specifieke document is bedoeld om de aandacht van de beoogde gebruiker te trekken door te stellen dat het een interview bevat met een Noord-Koreaanse overloper die de strijd van het leven in het land bespreekt. Eenmaal uitgevoerd, worden de bedreigende macro's die in het document zijn geïnjecteerd, geactiveerd. Ze droppen en voeren de CSPY Downloader uit als een bestand met de naam 'winload.exe' op de computer van het slachtoffer.

Het 'winload.exe-bestand' zit vol met UPX en de tijdstempeldatum is verschoven naar 30 juli 2016. Het is ondertekend met een verlopen certificaat toegeschreven aan EGIS Co., Ltd, een entiteit die al is gekoppeld aan de Kimsuky-hacker groep.

De CSPY Downloader voert uitgebreide anti-analysetechnieken uit

Voordat CSPY Downloader verder gaat met de levering van de malwarepayloads van de tweede fase, zorgt hij ervoor dat deze niet wordt uitgevoerd in een virtuele machine-omgeving. De downloader voert een aantal van dezelfde controles uit die de eerste scripts van het bewapende Word-document al hebben uitgevoerd, en toont daarmee de toewijding van hackers om hun malwaretools geheim te houden. CSPY voert een scan uit voor specifieke virtualisatiegerelateerde modules, specifieke bestandspaden, registersleutels en geheugen. Het controleert ook het proces van de PEB-structuur. Als alle scans geen overeenkomsten vinden, gaat de CSPY Downloader verder met de volgende programmeerstap; anders beëindigt het de uitvoering.

Drie bestanden worden door CSPY op de gecompromitteerde machine neergezet - een uitvoerbaar hoofdbestand en twee potentiële malwaremodules. Alle drie de payloads worden in eerste instantie gedownload naar de map% temp%, maar worden snel hernoemd en verplaatst naar verschillende locaties. Bij het initiëren van de belangrijkste malware-payload probeert CSPY deze te vermommen als een legitieme Windows-service door de nep-claim te doen dat deze nodig is om ingepakte applicaties te ondersteunen. Om het bedreigende binaire bestand met verhoogde rechten uit te voeren, gebruikt de downloader een techniek waarmee het de Windows User Account Control (UAC) -service kan omzeilen door gebruik te maken van de SilentCleanup-taak.

Wanneer de CSPY Downloader klaar is met het uitvoeren van zijn taken, verwijdert deze zichzelf eenvoudig van de gecompromitteerde machine.