Zlonamerna programska oprema Sepulcher

Sepulcher Malware je ime, ki je bilo dano novi družini zlonamerne programske opreme, za katero je bilo ugotovljeno, da je bila v dveh ločenih napadalnih kampanjah dostavljena kot koristni tovor. Prva kampanja je uporabila vabe, povezane s COVID-19, da bi ljudi zvabila, da so odprli prilogo z elektronsko pošto, povezano z zlonamerno programsko opremo, in je bila namenjena različnim evropskim subjektom, od neprofitnih raziskovalnih organizacij do diplomatskih in zakonodajnih institucij, pa tudi svetovnim organizacijam, ki se ukvarjajo z gospodarskimi zadevami. . Druga phishing kampanja z Sepulcherjem je bila usmerjena na tibetanske disidente. Kljub radikalno različni naravi obeh ciljnih skupin so raziskovalci odkrili obstoječe povezave med njima, na primer e-poštne račune operaterjev, ki so jih kitajske skupine ATP (Advanced Persistent Threat) že uporabljale. Pravzaprav obstajajo dosledni dokazi, da je krivec za obe napadalni kampanji kitajska hekerska skupina, imenovana TA413.

Zlonamerna programska oprema Sepulcher se distribuira prek lažnih e-poštnih sporočil

V napadu na evropske organizacije se je TA413 odločil izkoristiti zmedo in negotovost v zvezi s pandemijo COVID-19 in oblikoval poškodovana e-poštna sporočila, da posnema ukrepe kritične pripravljenosti, pripravljenosti in odziva WHO-19 na Svetovno zdravstveno organizacijo (WHO). Dokument o začasnih smernicah. V lažnih e-poštnih sporočilih je bila poškodovana datoteka RTF, ki je po zagonu izkoristila ranljivost Microsoft Equation Editor za namestitev predmeta RTF pod krinko meta-datoteke Windows (WMF) v vnaprej določen imenik, ki se nahaja na % \ AppData \ Local \ Temp \ wd4sx .wmf . Izvedba datoteke WMF povzroči dostavo tovora Sepulcher na okuženi računalnik.

V napadu z lažnim predstavljanjem na entitete, povezane s Tibetancem, je ATP413 uporabil ogroženi PowerPoint (PPXS) z imenom "TIBETANE, KI GA SMRTUJE SMRTNI VIRUS, KI NOSI OROŽJE IN GOVORI KITAJSKO.ppsx." Po izvedbi datoteka ppsx vzpostavi povezavo z naslovom IP IP 118.99.13.4 in prenese prenos obremenitve zlonamerne programske opreme Sepulcher z imenom „file.dll“. Ko se datoteka koristnega tovora shrani v ogroženi sistem, se preimenuje v 'credential.dll'.

Zlonamerna programska oprema Sepulcher je močan RAT  

Čeprav zlonamerna programska oprema Sepulcher morda ne uporablja nekaterih še nikoli videnih tehnologij, je še vedno grozeč trojanski oddaljeni dostop (RAT), ki je opremljen s številnimi funkcijami za zbiranje podatkov in sistemsko manipulacijo. Ko se izvrši poškodovana priloga e-pošte, pusti datoteko z imenom 'wd4sx.wmf', ki vsebuje koristni tovor Sepulcher Malware in kapalko za tovor. Kapalka ima obliko začasne datoteke z imenom "OSEB979.tmp", njena vloga pa je, da zlonamerno programsko opremo Sepulcher dostavi kot "credential.dll" v imenik % AppData% \ Roaming \ Identities \ Credential.dll . Zlonamerna programska oprema doseže obstojnost z uporabo rundlll32.exe in z ukazom izkorišča izvozno funkcijo 'GetObjectCount':

schtasks / create / tr "rundll32.exe% APPDATA% \ Identities \ Credential.dll, GetObjectCount" / tn "lemp" / sc URNI

Zlonamerna programska oprema Sepulcher se poveže z naslovom IP 107.151.194.197 prek treh različnih vrat - 80, 443 in 8080. Po prejemu določenih ukazov lahko zlonamerna programska oprema Sepulcher začne zbirati podatke iz okuženega sistema, ustvarja obratno ukazno lupino in manipulira datotek in imenikov. Med informacijami, ki jih zbira zlonamerna programska oprema Sepulcher, so podrobnosti o pogonih, povezanih z ogroženo napravo, imeniške poti, tekoči procesi, storitve in informacije o datotekah.