KilllSomeOne Malware

Por Mezo em Malware

Traduzir Para:

Um grupo de ataques direcionados contra organizações não governamentais e outras organizações sediadas em Mianmar foi detectado pelos pesquisadores de malware. Embora eles não tenham sido capazes de identificar a identidade exata do autor da ameaça responsável pelos ataques, evidências suficientes foram descobertas para sugerir o envolvimento de um grupo APT chinês.

Quatro cenários diferentes foram registrados até agora como parte das operações prejudiciais. Todos eles envolvem técnicas de carregamento do lado DLL e fazem referência a um caminho PDB semelhante, bem como a uma pasta chamada KillSomeOne. O código e a sofisticação entre os diferentes ataques mostram um grande grau de discrepância. Alguns incorporam implementações simples na codificação, ao mesmo tempo que contêm mensagens quase amadoras ocultas em seus exemplos. No entanto, ao mesmo tempo, a natureza altamente direcionada da operação e a implantação das cargas de malware exibem as características de um grupo sério de APT (Ameaça Persistente Avançada).

O Carregamento Lateral de DLLs e Cargas Úteis Ameaçadoras

O uso de carregamento lateral de DLL não é uma ocorrência rara. Afinal, a técnica existe desde pelo menos 2013. Ela envolve o uso de um arquivo DLL corrompido que está falsificando um legítimo. Como resultado, os processos e executáveis legítimos do Windows são explorados para carregar e executar o código corrompido deixado pelo agente da ameaça.

Em duas das quatro ondas de ataque observadas, a carga útil foi armazenada em um arquivo denominado Groza_1.dat. É um código de shell do carregador PE que é responsável por descriptografar a carga final, carregá-la na memória e, em seguida, executá-la. Essa carga útil final consiste em um arquivo DLL que transporta um shell de comando remoto simples capaz de se conectar a um servidor com o endereço IP 160.20.147.254 na porta 9999.

Os outros dois cenários de carregamento lateral de DLL KillSomeOne eram significativamente mais sofisticados. Em vez de um shell simples, eles envolviam um instalador complexo capaz de estabelecer um mecanismo de persistência e preparar o ambiente para a entrega da carga final. Embora os arquivos de carga útil fossem diferentes - adobe.dat e x32bridge.dat, eles entregavam executáveis quase idênticos que também tinham o mesmo banho de PDB.

Buscar

Mudar de região

KilllSomeOne Malware

Enviar o Comentário

Tendendo

Safe Search Eng

MarioLocker Ransomware

MyWallPaper

Mais visto

O Lookmovie.io é seguro?

Como Corrigir o Erro 'Driver da Impressora...

O Discord Exibe uma Tela Preta ao Compartilhar a Tela