Лицензии на несколько устройств (оптовые скидки)

Изменить регион

English Dansk Deutsch Español Français Italiano Nederlands Polski Português Svenska Türkçe Русский हिन्दी 日本語 汉语 漢語
Threat Database Malware KilllSomeOne Вредоносное ПО

KilllSomeOne Вредоносное ПО

К Mezo году в Malware году
Перевести на:
Русский

Исследователи вредоносных программ обнаружили группу целевых атак на неправительственные и другие организации, базирующиеся в Мьянме. Хотя они не смогли точно установить личность злоумышленника, ответственного за атаки, было обнаружено достаточно доказательств, позволяющих предположить причастность китайской APT-группы.

На данный момент зарегистрировано четыре различных сценария вредоносных операций. Все они включают методы загрузки на стороне DLL и ссылаются на аналогичный путь PDB, а также на папку с именем KillSomeOne. Код и изощренность различных атак сильно различаются. Некоторые включают в себя простые реализации в коде, а также содержат почти любительские сообщения, скрытые в их образцах. Однако в то же время узконаправленный характер операции и развертывание полезных нагрузок вредоносных программ демонстрируют характеристики серьезной группы APT (Advanced Persistent Threat).

Боковая загрузка DLL и опасные полезные нагрузки

Использование боковой загрузки DLL - не редкость. В конце концов, этот метод существует по крайней мере с 2013 года. Он предполагает использование поврежденного DLL-файла, подделывающего законный. В результате законные процессы и исполняемые файлы Windows используются для загрузки и выполнения поврежденного кода, сброшенного злоумышленником.

В двух из четырех наблюдаемых волн атак полезная нагрузка хранилась в файле Groza_1.dat. Это шелл-код PE-загрузчика, который отвечает за расшифровку окончательной полезной нагрузки, загрузку ее в память и последующее выполнение. Эта последняя полезная нагрузка состоит из файла DLL, содержащего простую удаленную командную оболочку, способную подключаться к серверу с IP-адресом 160.20.147.254 на порту 9999.

Два других сценария боковой загрузки DLL KillSomeOne были значительно сложнее. Вместо простой оболочки они использовали сложный установщик, способный установить механизм сохранения и подготовить среду для доставки окончательной полезной нагрузки. Хотя файлы полезной нагрузки были разными - adobe.dat и x32bridge.dat, они доставляли почти идентичные исполняемые файлы, которые также имели одну и ту же ванну PDB.

В тренде

Наиболее просматриваемые

Загрузка...