Licenties voor meerdere apparaten (volumekortingen)

Veranderen van regio

English Dansk Deutsch Español Français Italiano Nederlands Polski Português Svenska Türkçe Русский हिन्दी 日本語 汉语 漢語
Threat Database Malware KilllSomeOne Malware

KilllSomeOne Malware

Tegen Mezo in Malware
Vertalen naar:
Nederlands

Een groep gerichte aanvallen op niet-gouvernementele en andere organisaties in Myanmar is ontdekt door malware-onderzoekers. Hoewel ze niet de exacte identiteit hebben kunnen achterhalen van de dreigingsacteur die verantwoordelijk is voor de aanslagen, is er voldoende bewijs gevonden om de betrokkenheid van een Chinese APT-groep te suggereren.

Vier verschillende scenario's zijn tot dusver opgenomen als onderdeel van de schadelijke operaties. Ze bevatten allemaal laadtechnieken aan de DLL-zijde en verwijzen naar een vergelijkbaar PDB-pad, evenals naar een map met de naam KillSomeOne. De code en het raffinement tussen de verschillende aanvallen vertonen een grote mate van discrepantie. Sommige bevatten eenvoudige implementaties in codering, terwijl ze ook bijna amateuristische berichten bevatten die in hun voorbeelden zijn verborgen. Tegelijkertijd vertonen de zeer gerichte aard van de operatie en de inzet van de malware-payloads de kenmerken van een serieuze APT-groep (Advanced Persistent Threat).

De DLL-side-loading en bedreigende payloads

Het gebruik van DLL-side-loading is niet zeldzaam. De techniek bestaat tenslotte al sinds 2013. Het betreft het gebruik van een beschadigd DLL-bestand dat een legitiem DLL-bestand vervalst. Als gevolg hiervan worden legitieme Windows-processen en uitvoerbare bestanden misbruikt om de beschadigde code die door de bedreigingsacteur is achtergelaten, te laden en uit te voeren.

In twee van de vier waargenomen aanvalsgolven werd de payload opgeslagen in een bestand met de naam Groza_1.dat. Het is een shellcode van een PE-lader die verantwoordelijk is voor het decoderen van de uiteindelijke lading, deze in het geheugen laadt en vervolgens uitvoert. Deze laatste payload bestaat uit een DLL-bestand met een eenvoudige externe opdrachtshell die verbinding kan maken met een server met het 160.20.147.254 IP-adres op poort 9999.

De andere twee scenario's van KillSomeOne DLL-side-loading waren aanzienlijk geavanceerder. In plaats van een simpele omhulsel was er een complex installatieprogramma bij betrokken dat in staat was een persistentiemechanisme op te zetten en de omgeving voor te bereiden op de levering van de uiteindelijke lading. Hoewel de payload-bestanden anders waren - adobe.dat en x32bridge.dat, leverden ze bijna identieke uitvoerbare bestanden die ook hetzelfde PDB-bad hadden.

Trending

Meest bekeken

Bezig met laden...