Grafiek Malware
Sepulchre Malware is de naam die wordt gegeven aan een nieuwe malwarefamilie waarvan is vastgesteld dat deze als payload wordt geleverd in twee afzonderlijke aanvalscampagnes. De eerste campagne gebruikte COVID-19-gerelateerd kunstaas om mensen te misleiden tot het openen van een e-mailbijlage met malware en was gericht op verschillende Europese entiteiten, variërend van non-profit beleidsonderzoeksorganisaties tot diplomatieke en wetgevende instellingen, evenals wereldwijde organisaties die zich bezighouden met economische zaken. . De tweede phishing-campagne met Sepulchre was gericht tegen Tibetaanse dissidenten. Ondanks de radicaal verschillende aard van de twee doelgroepen, ontdekten onderzoekers bestaande verbanden tussen de twee, zoals e-mailaccounts van operators die eerder door Chinese ATP-groepen (Advanced Persistent Threat) werden gebruikt. In feite is er consistent bewijs dat de boosdoener achter beide aanvalscampagnes een Chinese hackergroep genaamd TA413 is.
De Sepulchre Malware wordt verspreid via phishing-e-mails
Bij de aanval op de Europese organisaties besloot TA413 te profiteren van de verwarring en onzekerheid rond de COVID-19-pandemie en maakte de corrupte e-mails om de kritieke paraatheid, paraatheid en responsacties voor COVID-19 na te bootsen. Tussentijdse begeleiding 'document. De phishing-e-mails bevatten een beschadigd RTF-bestand dat bij uitvoering misbruik maakte van een Microsoft Equation Editor-kwetsbaarheid om een RTF-object te installeren onder het mom van een Windows-metabestand (WMF) in een vooraf bepaalde map in % \ AppData \ Local \ Temp \ wd4sx .wmf . Het uitvoeren van het WMF-bestand resulteert in de aflevering van de Sepulchre-payload aan de geïnfecteerde machine.
Bij de phishing-aanval op Tibetaanse gerelateerde entiteiten gebruikte ATP413 een gecompromitteerde PowerPoint (PPXS) met de naam 'TIBETANS WORDEN HIT DOOR DODELIJK VIRUS DAT EEN GEWERP DRAAGT EN CHINEES SPREEKT.ppsx.' Wanneer het wordt uitgevoerd, brengt het ppsx-bestand een verbinding tot stand met het IP-adres IP 118.99.13.4 en downloadt het de Sepulchre-malware-payload met de naam 'file.dll'. Nadat het is opgeslagen op het gecompromitteerde systeem, wordt het payload-bestand hernoemd naar 'credential.dll.'
The Sepulchre Malware is een krachtige RAT
Hoewel de Sepulchre-malware misschien geen nooit eerder vertoonde technologie gebruikt, is het nog steeds een bedreigende Remote Access Trojan (RAT) die is uitgerust met talloze functies voor het verzamelen van gegevens en systeemmanipulatie. Wanneer de beschadigde e-mailbijlage wordt uitgevoerd, wordt er een bestand met de naam 'wd4sx.wmf' neergezet dat de Sepulchre Malware-payload en een payload-dropper bevat. De dropper heeft de vorm van een tijdelijk bestand met de naam 'OSEB979.tmp' en zijn rol is om de Sepulchre-malware als een 'credential.dll' naar de map % AppData% \ Roaming \ Identities \ Credential.dll af te leveren . De malware bereikt persistentie door rundlll32.exe te gebruiken en de exportfunctie 'GetObjectCount' te exploiteren via de opdracht:
schtasks / create / tr "rundll32.exe% APPDATA% \ Identities \ Credential.dll, GetObjectCount" / tn "lemp" / sc HOURLY
De Sepulchre Malware maakt verbinding met het 107.151.194.197 IP-adres via drie verschillende poorten - 80, 443 en 8080. Na ontvangst van specifieke opdrachten kan de Sepulchre Malware beginnen met het verzamelen van gegevens van het geïnfecteerde systeem, een omgekeerde opdrachtshell maken en bestanden en mappen. Onder de informatie die door de Sepulchre Malware wordt verzameld, zijn details over de schijven die zijn aangesloten op het gecompromitteerde apparaat, mappaden, actieve processen, services en bestandsinformatie.
