KerrDown

KerrDown-Beschreibung

KerrDown ist eine neue Familie von Malware-Downloadern, die von der Hacker-Gruppe OceanLotus entwickelt und eingesetzt werden. Mehrere Angriffskampagnen wurden mit OceanLotus- Aktivitäten verknüpft. Ihre Ziele waren oft global, aber die meisten Aktivitäten der Gruppe scheinen sich auf die APAC-Region zu konzentrieren. Die Opfer kommen aus einer Vielzahl von Branchen, ausländischen Regierungen, diplomatischen Vertretungen und mit Vietnam verbundenen Organisationen. Tatsächlich zielte die jüngste Kampagne mit dem KerrDown-Downloader entweder auf Unternehmen aus Vietnam oder auf vietnamesischsprachige Unternehmen ab.

Es wurden zwei Hauptangriffsvektoren identifiziert - durch Phishing-E-Mails mit wortgeschützten Word-Dokumenten oder durch Bereitstellung von RAR-Archiven mit echten Apps mit DLL-Seitenladung.

Wenn die Opfer das Word-Dokument ausführen, werden sie in einer vietnamesischen Nachricht aufgefordert, Makros zu aktivieren. Das Makro überprüft das gefährdete System und bestimmt, welche von zwei DLL-Dateien darauf bereitgestellt werden sollen, je nachdem, ob es eine 32-Bit-Architektur oder eine 64-Bit-Architektur hat. Die ausgewählte DLL wird dann an einem festgelegten Speicherort unter "Benutzer \ Administrator \ AppData \ Roaming \" als Datei mit dem Namen "main_background.png" abgelegt.

Der erste Schritt, der von KerrDown bereitgestellt wird, besteht darin, die Hauptnutzdaten der Malware abzurufen, sie mithilfe des DES-Algorithmus zu entschlüsseln und sie dann sofort im Speicher auszuführen. Diese Technik minimiert den Platzbedarf der Malware-Bedrohungen, da nur KerrDown auf dem gefährdeten System gespeichert wird.

Die von KerrDown gelieferte Nutzlast ist eine Variante einer beliebten Malware namens Cobalt Strike Beacon. OceanLotus hat Cobalt Strike in mehreren seiner vorherigen Kampagnen eingesetzt.

Was die KerrDown-Varianten betrifft, die über RAR-Archive verbreitet werden, ist das Endziel dasselbe - die Lieferung von Cobalt Strike Beacon, aber die Schritte, um dorthin zu gelangen, unterscheiden sich erheblich. Erstens haben die RAR-Dateien vietnamesische Namen, die "Brief beschweren" bedeuten und ein Microsoft Word-Dokument aus einer älteren Version von Word enthalten. Das Dokument selbst hat auch einen vietnamesischen Namen, der übersetzt "Weitere Informationen zur Verwendung Ihres Unternehmens" bedeutet. Die beschädigten Dateien von KerrDown werden durch eine DLL-Side-Loading-Technik gelöscht. Die DLL folgt dann einer mehrstufigen Kette von Shellcode-Befehlen, wobei jede Stufe verschiedene Techniken verwendet, um den nachfolgenden Schritt zu maskieren. Die eingebettete Cobalt Strike Beacon-DLL wird schließlich in den Speicher geladen und vom vierten Shellcode in der Sequenz ausgeführt.