Sepulcher Malware

Sepulcher Malware é o nome dado a uma nova família de malware que foi observada como carga útil em duas campanhas de ataque separadas. A primeira campanha usou iscas relacionadas ao COVID-19 para enganar as pessoas para que abrissem um anexo de e-mail com malware e era direcionada a várias entidades europeias, desde organizações de pesquisa de políticas sem fins lucrativos a instituições diplomáticas e legislativas, bem como organizações globais que lidam com assuntos econômicos. A segunda campanha de phishing com o Sepulcro teve como alvo dissidentes tibetanos. Apesar da natureza radicalmente diferente dos dois grupos-alvo, os pesquisadores descobriram conexões existentes entre os dois, como contas de e-mail de operador que foram usadas por grupos chineses ATP (Advanced Persistent Threat) anteriormente. Na verdade, há evidências consistentes de que o culpado por trás de ambas as campanhas de ataque é um grupo de hackers chinês chamado TA413.

O Sepulcher Malware é Distribuído por Meio de E-Mails de Phishing

No ataque contra as organizações europeias, TA413 decidiu tirar vantagem da confusão e incerteza em torno da pandemia COVID-19 e elaborou os e-mails corrompidos para imitar as ações críticas de preparação, prontidão e resposta da OMS (Organização Mundial da Saúde) para COVID-19, Documento provisório de orientação. Os e-mails de phishing carregavam um arquivo RTF corrompido que, quando executado, explorava uma vulnerabilidade do Microsoft Equation Editor para instalar um objeto RTF sob o pretexto de meta-arquivo do Windows (WMF) em um diretório predeterminado localizado em %\AppData\Local\Temp\wd4sx.wmf . A execução do arquivo WMF resulta na entrega da carga útil do Sepulcro à máquina infectada.

No ataque de phishing contra entidades relacionadas ao tibetano, o ATP413 usou um PowerPoint comprometido (PPXS) chamado 'TIBETANOS SENDO ALCANÇADOS POR VÍRUS MORTAL QUE CARREGA UMA ARMA E FALA CHINÊS.ppsx.' Quando executado, o arquivo ppsx inicia uma conexão com o endereço de IP 118.99.13.4 e baixa a carga de malware Sepulcher chamada 'file.dll'. Ao ser salvo no sistema comprometido, o arquivo de carga útil é renomeado para 'credential.dll'.

O Sepulcher Malware é um RAT Potente  

Embora o malware Sepulcher possa não empregar uma tecnologia nunca antes vista, ainda é um Trojan de Acesso Remoto (RAT) ameaçador, equipado com várias funções de coleta de dados e manipulação do sistema. Quando o anexo de e-mail corrompido é executado, ele descarta um arquivo chamado 'wd4sx.wmf' que contém a carga útil do Malware Sepulcher e um dropper de carga útil. O dropper assume a forma de um arquivo temporário chamado 'OSEB979.tmp,' e sua função é entregar o malware Sepulcher como um 'credential.dll' para o diretório % AppData% \ Roaming \ Identities \ Credential.dll . O malware atinge persistência usando o rundlll32.exe e explorando a função de exportação 'GetObjectCount' por meio do comando:

schtasks / create / tr "rundll32.exe% APPDATA% \ Identities \ Credential.dll, GetObjectCount" / tn "lemp" / sc HORA

O Sepulcher Malware se conecta ao endereço de IP 107.151.194.197 através de três portas diferentes - 80, 443 e 8080. Ao receber comandos específicos, o Sepulcher Malware pode começar a coletar dados do sistema infectado, criar um shell de comando reverso, bem como manipular arquivos e diretórios. Entre as informações coletadas pelo Sepulcher Malware estão detalhes sobre as unidades conectadas ao dispositivo comprometido, caminhos de diretório, processos em execução, serviços e informações de arquivos.