KerrDown

O KerrDown é uma nova família de downloaders de malware criada e empregada pelo grupo de hackers OceanLotus. Várias campanhas de ataque foram vinculadas às atividades do OceanLotus. Muitas vezes, seus alvos são em escala global, mas a maioria das operações do grupo parece estar concentrada na região APAC. As vítimas vêm de uma ampla gama de indústrias, governos estrangeiros, agências diplomáticas e entidades ligadas ao Vietnã. Na verdade, a última campanha envolvendo o downloader KerrDown tem como alvo entidades do Vietnã ou de língua vietnamita.

Dois vetores de ataque principais foram identificados - e-mails de phishing que transportam documentos do Word como arma ou a entrega de arquivos RAR contendo aplicativos genuínos com carregamento lateral de DLL.

Quando a vítima executa o documento do Word, uma mensagem em vietnamita pede que habilitem os macros. O macro digitaliza o sistema comprometido e determina qual dos dois arquivos .dll implantar nele, dependendo se ele tem uma arquitetura de 32 bits ou de 64 bits. O DLL escolhido é então colocado em um local predeterminado no 'Users\Administrator\AppData\Roaming\' como um arquivo chamado 'main_background.png.'

A primeira etapa executada pelo implantado pelo KerrDown é recuperar a carga útil do malware principal, descriptografá-la por meio do algoritmo DES e, em seguida, executá-la na memória imediatamente. Essa técnica minimiza a pegada das ameaças de malware, pois apenas o KerrDown é salvo no sistema comprometido.

A carga útil fornecida pelo KerrDown é uma variante de uma cepa popular de malware chamada Cobalt Strike Beacon. O OceanLotus tem implantado Cobalt Strike em várias de suas campanhas anteriores.

Quanto às variantes do KerrDown propagadas através dos arquivos RAR, o objetivo final é o mesmo - a entrega do Cobalt Strike Beacon, mas as etapas para chegar lá diferem significativamente. Primeiro, os arquivos RAR têm nomes em vietnamita que significam 'Carta de Reclamação' e contêm um documento do Microsoft Word de uma versão mais antiga do Word. O próprio documento também possui um nome vietnamita que, quando traduzido, significa 'Saiba mais sobre como usar a sua empresa'. Os arquivos corrompidos do KerrDown são eliminados por meio de uma técnica de carregamento lateral de DLL. O DLL então segue uma cadeia de várias etapas de comandos shellcode, com cada estágio usando várias técnicas para mascarar a etapa subsequente. O DLL Cobalt Strike Beacon embutida é finalmente carregada na memória e executada pelo quarto shellcode na sequência.

Tendendo

Mais visto

Carregando...