KilllSomeOne Malware

Von Mezo in Malware

Übersetzen Sie in:

Eine Gruppe gezielter Angriffe gegen Nichtregierungsorganisationen und andere in Myanmar ansässige Organisationen wurde von Malware-Forschern entdeckt. Obwohl sie nicht in der Lage waren, die genaue Identität des für die Angriffe verantwortlichen Bedrohungsakteurs zu bestimmen, wurden genügend Beweise gefunden, um auf die Beteiligung einer chinesischen APT-Gruppe hinzuweisen.

Bisher wurden im Rahmen der schädlichen Operationen vier verschiedene Szenarien aufgezeichnet. Alle beinhalten DLL-seitige Ladetechniken und verweisen auf einen ähnlichen PDB-Pfad sowie auf einen Ordner namens KillSomeOne. Der Code und die Raffinesse zwischen den verschiedenen Angriffen weisen ein hohes Maß an Diskrepanz auf. Einige enthalten einfache Implementierungen in der Codierung und enthalten gleichzeitig fast amateurhafte Nachrichten, die in ihren Beispielen versteckt sind. Gleichzeitig weisen die sehr zielgerichtete Art des Vorgangs und die Bereitstellung der Malware-Nutzdaten die Merkmale einer ernsthaften APT-Gruppe (Advanced Persistent Threat) auf.

Die DLL Side-Loading und Threatening Payloads

Die Verwendung von DLL-Side-Loading kommt nicht selten vor. Immerhin gibt es die Technik seit mindestens 2013. Sie beinhaltet die Verwendung einer beschädigten DLL-Datei, die eine legitime fälscht. Infolgedessen werden legitime Windows-Prozesse und ausführbare Dateien ausgenutzt, um den vom Bedrohungsakteur abgelegten beschädigten Code zu laden und auszuführen.

In zwei der vier beobachteten Angriffswellen wurde die Nutzlast in einer Datei mit dem Namen Groza_1.dat gespeichert. Es handelt sich um einen PE-Loader-Shellcode, der dafür verantwortlich ist, die endgültige Nutzlast zu entschlüsseln, in den Speicher zu laden und anschließend auszuführen. Diese endgültige Nutzlast besteht aus einer DLL-Datei mit einer einfachen Remote-Befehlsshell, die eine Verbindung zu einem Server mit der IP-Adresse 160.20.147.254 an Port 9999 herstellen kann.

Die beiden anderen Szenarien des Seitenladens der KillSomeOne-DLL waren erheblich komplexer. Anstelle einer einfachen Shell war ein komplexes Installationsprogramm beteiligt, das in der Lage war, einen Persistenzmechanismus einzurichten und die Umgebung auf die Bereitstellung der endgültigen Nutzlast vorzubereiten. Während die Nutzdaten unterschiedlich waren - adobe.dat und x32bridge.dat - lieferten sie nahezu identische ausführbare Dateien, die auch das gleiche PDB-Bad hatten.

Suche

Region ändern

KilllSomeOne Malware

Kommentar abgeben

Im Trend

Safe Search Eng

MarioLocker Ransomware

MyWallPaper

Am häufigsten gesehen

Ist Lookmovie.io sicher?

So beheben Sie den Fehler 'Druckertreiber ist nicht...

Discord zeigt beim Teilen des Bildschirms schwarzen...