Çoklu Cihaz Lisansları (Toplu İndirimler)

Bölge değiştir

English Dansk Deutsch Español Français Italiano Nederlands Polski Português Svenska Türkçe Русский हिन्दी 日本語 汉语 漢語
Threat Database Malware KilllSomeOne Malware

KilllSomeOne Malware

Mezo'de Malware'de
Çevir:
Türkçe

Kötü amaçlı yazılım araştırmacıları tarafından Myanmar'da bulunan sivil toplum kuruluşlarına ve diğer kuruluşlara yönelik bir grup hedefli saldırı tespit edildi. Saldırılardan sorumlu olan tehdit aktörünün tam kimliğini tam olarak belirleyememiş olsalar da, Çinli bir APT grubunun karıştığını gösteren yeterli kanıt ortaya çıkarıldı.

Zararlı operasyonlar kapsamında şimdiye kadar dört farklı senaryo kaydedildi. Hepsi DLL tarafı yükleme tekniklerini içerir ve benzer bir PDB yolunun yanı sıra KillSomeOne adlı bir klasöre referans verir. Farklı saldırılar arasındaki kod ve karmaşıklık, büyük ölçüde tutarsızlık gösterir. Bazıları kodlamada basit uygulamaları içerirken, örneklerinde neredeyse amatörce gizlenmiş mesajlar da içerir. Bununla birlikte, aynı zamanda, operasyonun yüksek düzeyde hedeflenen doğası ve kötü amaçlı yazılım yüklerinin konuşlandırılması, ciddi bir APT (Gelişmiş Kalıcı Tehdit) grubunun özelliklerini sergiler.

DLL Yan Yükleme ve Tehdit Eden Yükler

DLL yan yüklemesinin kullanılması nadir görülen bir durum değildir. Sonuçta, teknik en az 2013'ten beri var. Yasal bir dosyayı taklit eden bozuk bir DLL dosyasının kullanılmasını içeriyor. Sonuç olarak, meşru Windows işlemleri ve yürütülebilir dosyalarından, tehdit aktörünün bıraktığı bozuk kodu yüklemek ve yürütmek için yararlanılır.

Gözlemlenen dört saldırı dalgasından ikisinde, yük Groza_1.dat adlı bir dosyada saklanıyordu. Son yükün şifresini çözmekten, belleğe yüklemekten ve ardından yürütmekten sorumlu olan bir PE yükleyici kabuk kodudur. Bu son yük, 9999 numaralı bağlantı noktasındaki 160.20.147.254 IP adresiyle bir sunucuya bağlanabilen basit bir uzaktan komut kabuğunu taşıyan bir DLL dosyasından oluşur.

KillSomeOne DLL yan yüklemesinin diğer iki senaryosu, önemli ölçüde daha karmaşıktı. Basit bir kabuk yerine, bir kalıcılık mekanizması kurabilen ve ortamı son yükün teslimi için hazırlayabilen karmaşık bir yükleyici içeriyorlardı. Yük dosyaları farklı olsa da - adobe.dat ve x32bridge.dat, aynı PDB banyosuna sahip hemen hemen aynı çalıştırılabilir dosyalar sağladılar.

trend

En çok görüntülenen

Yükleniyor...