KerrDown
KerrDown is een nieuwe familie van malware-downloaders gemaakt en gebruikt door de hackergroep OceanLotus. Meerdere aanvalscampagnes zijn gekoppeld aan OceanLotus- activiteiten. Hun doelen waren vaak op wereldwijde schaal, maar de meeste activiteiten van de groep lijken geconcentreerd te zijn op de APAC-regio. De slachtoffers zijn afkomstig uit een breed scala van industrieën, buitenlandse regeringen, diplomatieke agentschappen en entiteiten die verbonden zijn met Vietnam. In feite was de nieuwste campagne met de KerrDown-downloader gericht op entiteiten uit Vietnam of Vietnamees sprekende entiteiten.
Er zijn twee belangrijke aanvalsvectoren geïdentificeerd: via phishing-e-mails met bewapende Word-documenten of door het bezorgen van RAR-archieven met echte apps met DLL-side-loading.
Wanneer het slachtoffer het Word-document uitvoert, wordt in een bericht in het Vietnamees gevraagd macro's in te schakelen. De macro controleert het gecompromitteerde systeem en bepaalt welke van de twee DLL-bestanden erop moet worden geïmplementeerd, afhankelijk van of het een 32-bits architectuur of een 64-bits architectuur heeft. De gekozen DLL wordt vervolgens neergezet op een vooraf bepaalde locatie in 'Users \ Administrator \ AppData \ Roaming \' als een bestand met de naam 'main_background.png'.
De eerste stap die wordt uitgevoerd door de geïmplementeerde door KerrDown is om de belangrijkste malware-payload op te halen, deze te decoderen met behulp van het DES-algoritme en deze vervolgens onmiddellijk in het geheugen uit te voeren. Deze techniek minimaliseert de voetafdruk van de malwarebedreigingen omdat alleen KerrDown wordt opgeslagen op het gecompromitteerde systeem.
De payload die door KerrDown wordt geleverd, is een variant van een populaire malware-soort genaamd Cobalt Strike Beacon. OceanLotus heeft Cobalt Strike ingezet in verschillende van hun eerdere campagnes.
Wat betreft de KerrDown-varianten die worden verspreid via RAR-archieven, is het einddoel hetzelfde: levering van Cobalt Strike Beacon, maar de stappen om daar te komen verschillen aanzienlijk. Ten eerste hebben de RAR-bestanden namen in het Vietnamees die 'Klachtbrief' betekenen en bevatten ze een Microsoft Word-document van een oudere versie van Word. Het document zelf heeft ook een Vietnamese naam die, wanneer vertaald, betekent 'Meer informatie over het gebruik van uw bedrijf'. De beschadigde bestanden van KerrDown worden verwijderd via een DLL-side-loading-techniek. De DLL gaat vervolgens verder met het volgen van een uit meerdere stappen bestaande reeks shellcode-opdrachten, waarbij elke fase verschillende technieken gebruikt om de volgende stap te maskeren. De ingebedde Cobalt Strike Beacon DLL wordt uiteindelijk in het geheugen geladen en uitgevoerd door de vierde shellcode in de reeks.
