KilllSomeOne恶意软件
恶意软件研究人员发现了针对缅甸境内非政府组织和其他组织的有针对性的攻击。尽管他们无法查明肇事者的确切身份,但已发现足够的证据表明中国APT团体参与其中。
迄今为止,已记录了四种不同的方案,将其作为有害操作的一部分。它们都涉及DLL端加载技术,并引用类似的PDB路径以及名为KillSomeOne的文件夹。不同攻击之间的代码和复杂程度显示出很大的差异。有些在编码中包含了简单的实现,同时还包含了隐藏在其样本中的几乎业余的消息。但是,与此同时,操作的高度针对性和恶意软件有效载荷的部署表现出严重的APT(高级持久威胁)组的特征。
DLL侧面加载和威胁有效载荷
DLL侧面加载的使用并不罕见。毕竟,该技术至少在2013年就已经存在。它涉及使用损坏的DLL文件,该文件欺骗了合法的DLL文件。结果,合法的Windows进程和可执行文件被利用来加载和执行由威胁参与者丢弃的损坏的代码。
在观察到的四个攻击波中的两个中,有效载荷存储在名为Groza_1.dat的文件中。这是一个PE加载程序shellcode,负责解密最终的有效负载,将其加载到内存中,然后执行它。最后的有效负载由一个DLL文件组成,该DLL文件带有一个简单的远程命令外壳,该外壳能够通过端口9999上的IP地址为160.20.147.254的服务器进行连接。
KillSomeOne DLL侧面加载的其他两种情况要复杂得多。他们使用的不是复杂的安装程序,而是复杂的安装程序,该安装程序能够建立持久性机制并为最终的有效负载的传递准备环境。尽管有效负载文件有所不同-adobe.dat和x32bridge.dat,但它们提供了几乎相同的可执行文件,它们也具有相同的PDB浴池。
