Licenser för flera enheter (volymrabatter)

Ändra region

English Dansk Deutsch Español Français Italiano Nederlands Polski Português Svenska Türkçe Русский हिन्दी 日本語 汉语 漢語
Threat Database Malware KilllSomeOne Malware

KilllSomeOne Malware

Med Mezo år Malware
Översätt till:
Svenska

En grupp riktade attacker mot icke-statliga och andra organisationer baserade i Myanmar har upptäckts av malware-forskare. Även om de inte har kunnat identifiera den exakta identiteten på hotaktören som är ansvarig för attackerna har tillräckligt med bevis avslöjats för att en kinesisk APT-grupp ska delta.

Fyra olika scenarier har hittills registrerats som en del av de skadliga operationerna. Alla involverar laddningstekniker på DLL-sidan och refererar till en liknande PDB-sökväg, liksom en mapp som heter KillSomeOne. Koden och sofistikering mellan de olika attackerna visar stor skillnad. Vissa innehåller enkla implementeringar i kodning samtidigt som de innehåller nästan amatörmässiga meddelanden gömda i sina prover. Samtidigt uppvisar dock den mycket riktade karaktären av operationen och utplaceringen av skadlig nyttolast egenskaperna hos en seriös APT-grupp (Advanced Persistent Threat).

DLL-sidoladdning och hotande nyttolaster

Användningen av DLL-sidladdning är inte en sällsynt händelse. När allt kommer omkring har tekniken funnits sedan åtminstone 2013. Det handlar om att använda en skadad DLL-fil som förfalskar en legitim fil. Som ett resultat utnyttjas legitima Windows-processer och körbara filer för att ladda och köra den skadade koden som hotadaktören tappat.

I två av de fyra observerade attackvågorna lagrades nyttolasten i en fil med namnet Groza_1.dat. Det är en PE-loader-skalkod som ansvarar för att dekryptera den slutliga nyttolasten, ladda den i minnet och sedan köra den. Denna slutliga nyttolast består av en DLL-fil som bär ett enkelt fjärrkommandoskal som kan ansluta till en server med 160.20.147.254 IP-adressen på port 9999.

De andra två scenarierna för KillSomeOne DLL-sidladdning var betydligt mer sofistikerade. I stället för ett enkelt skal involverade de en komplex installatör som kunde skapa en uthållighetsmekanism och förbereda miljön för leverans av den slutliga nyttolasten. Medan nyttolastfilerna var olika - adobe.dat och x32bridge.dat, levererade de nästan identiska körbara filer som också hade samma PDB-bad.

Trendigt

Mest sedda

Läser in...