Malware Sepulcher

Sepulcher Malware to nazwa nadana nowej rodzinie złośliwego oprogramowania, która została zaobserwowana jako ładunek w dwóch oddzielnych kampaniach ataków. W pierwszej kampanii wykorzystano przynęty związane z COVID-19, aby nakłonić ludzi do otwarcia załącznika e-mail zawierającego złośliwe oprogramowanie i była skierowana do różnych europejskich podmiotów, od organizacji non-profit zajmujących się badaniami politycznymi po instytucje dyplomatyczne i ustawodawcze, a także organizacje globalne zajmujące się sprawami gospodarczymi. . Druga kampania phishingowa przeprowadzona w Sepulcher była wymierzona w dysydentów tybetańskich. Pomimo radykalnie odmiennego charakteru obu grup docelowych, naukowcy odkryli istniejące połączenia między nimi, takie jak konta e-mail operatorów, które były wcześniej używane przez chińskie grupy ATP (Advanced Persistent Threat). W rzeczywistości istnieją spójne dowody na to, że winowajcą obu kampanii ataków jest chińska grupa hakerów o nazwie TA413.

Szkodliwe oprogramowanie Sepulcher jest rozpowszechniane za pośrednictwem wiadomości e-mail typu phishing

W ataku na organizacje europejskie TA413 postanowił wykorzystać zamieszanie i niepewność związaną z pandemią COVID-19 i spreparował uszkodzone wiadomości e-mail, aby naśladować krytyczne działania przygotowawcze, gotowości i reagowania WHO (Światowej Organizacji Zdrowia) na COVID-19, Dokument tymczasowych wytycznych. E-maile phishingowe zawierały uszkodzony plik RTF, który po uruchomieniu wykorzystywał lukę Microsoft Equation Editor w celu zainstalowania obiektu RTF pod przykrywką metapliku Windows (WMF) do z góry określonego katalogu znajdującego się w % \ AppData \ Local \ Temp \ wd4sx .wmf . Wykonanie pliku WMF skutkuje dostarczeniem ładunku Sepulcher do zainfekowanej maszyny.

W ataku phishingowym na podmioty powiązane z Tybetem, ATP413 użył skompromitowanego programu PowerPoint (PPXS) o nazwie „TYBETAŃCZY UDERZONYCH PRZEZ ŚMIERTELNEGO WIRUSA, KTÓRY NOSI PISTOLET I MÓWI CHIŃSKI.ppsx”. Po uruchomieniu plik ppsx inicjuje połączenie z adresem IP IP 118.99.13.4 i pobiera ładunek złośliwego oprogramowania Sepulcher o nazwie „file.dll”. Po zapisaniu w zaatakowanym systemie nazwa pliku ładunku jest zmieniana na „credential.dll”.

Szkodliwe oprogramowanie Sepulcher to potężny RAT  

Chociaż malware Sepulcher może nie wykorzystywać jakiejś nigdy wcześniej nie widzianej technologii, nadal jest groźnym trojanem zdalnego dostępu (RAT), który jest wyposażony w liczne funkcje gromadzenia danych i manipulacji systemem. Gdy uszkodzony załącznik e-mail jest wykonywany, upuszcza plik o nazwie „wd4sx.wmf”, który zawiera ładunek Sepulcher Malware i dropper. Dropper ma postać tymczasowego pliku o nazwie „OSEB979.tmp”, a jego rolą jest dostarczanie złośliwego oprogramowania Sepulcher jako „credential.dll” do katalogu % AppData% \ Roaming \ Identities \ Credential.dll . Złośliwe oprogramowanie osiąga trwałość dzięki użyciu rundlll32.exe i funkcji eksportu „GetObjectCount” za pomocą polecenia:

schtasks / create / tr "rundll32.exe% APPDATA% \ Identities \ Credential.dll, GetObjectCount" / tn "lemp" / sc GODZINA

Sepulcher Malware łączy się z adresem IP 107.151.194.197 przez trzy różne porty - 80, 443 i 8080. Po otrzymaniu określonych poleceń, Sepulcher Malware może rozpocząć zbieranie danych z zainfekowanego systemu, utworzyć powłokę poleceń odwrotnych, a także manipulować pliki i katalogi. Wśród informacji zebranych przez Sepulcher Malware znajdują się szczegóły dotyczące dysków podłączonych do zaatakowanego urządzenia, ścieżek katalogów, uruchomionych procesów, usług i informacji o plikach.