KilllSomeOne Malware

Badacze szkodliwego oprogramowania wykryli grupę ukierunkowanych ataków na organizacje pozarządowe i inne organizacje z siedzibą w Myanmarze. Chociaż nie byli w stanie dokładnie określić tożsamości podmiotu odpowiedzialnego za ataki, odkryto wystarczające dowody, by sugerować udział chińskiej grupy APT.

Jak dotąd zarejestrowano cztery różne scenariusze jako część szkodliwych operacji. Wszystkie obejmują techniki ładowania po stronie DLL i odwołują się do podobnej ścieżki PDB, a także do folderu o nazwie KillSomeOne. Kod i wyrafinowanie między różnymi atakami wykazują duży stopień rozbieżności. Niektóre zawierają proste implementacje w kodowaniu, a jednocześnie zawierają prawie amatorskie wiadomości ukryte w swoich próbkach. Jednak jednocześnie wysoce ukierunkowany charakter operacji i rozmieszczenie ładunków szkodliwego oprogramowania wykazują cechy poważnej grupy APT (Advanced Persistent Threat).

Ładunki DLL ładujące się po stronie i zagrażające

Użycie bocznego ładowania DLL nie jest rzadkim zjawiskiem. W końcu technika ta istnieje od co najmniej 2013 roku. Polega ona na wykorzystaniu uszkodzonego pliku DLL, który podszywa się pod legalny. W rezultacie legalne procesy i pliki wykonywalne systemu Windows są wykorzystywane do ładowania i wykonywania uszkodzonego kodu upuszczonego przez podmiot będący zagrożeniem.

W dwóch z czterech zaobserwowanych fal ataków ładunek był przechowywany w pliku o nazwie Groza_1.dat. Jest to szelkod programu ładującego PE, który jest odpowiedzialny za odszyfrowanie końcowego ładunku, załadowanie go do pamięci, a następnie wykonanie. Ten ostatni ładunek składa się z pliku DLL zawierającego prostą zdalną powłokę poleceń, która może łączyć się z serwerem o adresie IP 160.20.147.254 na porcie 9999.

Pozostałe dwa scenariusze ładowania bocznego biblioteki KillSomeOne DLL były znacznie bardziej wyrafinowane. Zamiast prostej powłoki, wymagały one złożonego instalatora zdolnego do ustanowienia mechanizmu trwałości i przygotowania środowiska do dostarczenia końcowego ładunku. Chociaż pliki ładunku były różne - adobe.dat i x32bridge.dat, dostarczały prawie identyczne pliki wykonywalne, które również miały tę samą kąpiel PDB.