KilllSomeOne惡意軟件
惡意軟件研究人員發現了針對緬甸境內非政府組織和其他組織的有針對性的攻擊。儘管他們無法查明肇事者的確切身份,但已發現足夠的證據表明中國APT團體參與其中。
迄今為止,已記錄了四種不同的方案,將其作為有害操作的一部分。它們都涉及DLL端加載技術,並引用類似的PDB路徑以及名為KillSomeOne的文件夾。不同攻擊之間的代碼和復雜程度顯示出很大的差異。有些在編碼中包含了簡單的實現,同時還包含了隱藏在其樣本中的幾乎業餘的消息。但是,與此同時,操作的高度針對性和惡意軟件有效載荷的部署表現出嚴重的APT(高級持久威脅)組的特徵。
DLL側面加載和威脅有效載荷
DLL側面加載的使用並不罕見。畢竟,該技術至少在2013年就已經存在。它涉及使用損壞的DLL文件,該文件欺騙了合法的DLL文件。結果,合法的Windows進程和可執行文件被利用來加載和執行由威脅參與者丟棄的損壞的代碼。
在觀察到的四個攻擊波中的兩個中,有效載荷存儲在名為Groza_1.dat的文件中。這是一個PE加載程序shellcode,負責解密最終的有效負載,將其加載到內存中,然後執行它。最後的有效負載由一個DLL文件組成,該文件帶有一個簡單的遠程命令外殼,該外殼能夠通過端口9999上的IP地址為160.20.147.254的服務器進行連接。
KillSomeOne DLL側面加載的其他兩種情況要復雜得多。他們使用的不是複雜的安裝程序,而是複雜的安裝程序,該安裝程序能夠建立持久性機制並為最終的有效負載的傳遞準備環境。儘管有效負載文件有所不同-adobe.dat和x32bridge.dat,但它們提供了幾乎相同的可執行文件,它們也具有相同的PDB浴池。
