Sepulchre Malware

Sepulchre-Malware ist der Name einer neuen Malware-Familie, die in zwei separaten Angriffskampagnen als Nutzlast bereitgestellt wurde. Die erste Kampagne verwendete COVID-19-Köder, um Menschen dazu zu verleiten, einen mit Malware geschnürten E-Mail-Anhang zu öffnen, und richtete sich an verschiedene europäische Unternehmen, von gemeinnützigen Forschungsorganisationen über diplomatische und legislative Institutionen bis hin zu globalen Organisationen, die sich mit wirtschaftlichen Angelegenheiten befassen . Die zweite Phishing-Kampagne mit Sepulchre richtete sich gegen tibetische Dissidenten. Trotz der radikal unterschiedlichen Natur der beiden Zielgruppen entdeckten die Forscher bestehende Verbindungen zwischen den beiden, beispielsweise Betreiber-E-Mail-Konten, die zuvor von chinesischen ATP-Gruppen (Advanced Persistent Threat) verwendet wurden. Tatsächlich gibt es konsistente Beweise dafür, dass der Schuldige hinter beiden Angriffskampagnen eine chinesische Hacker-Gruppe namens TA413 ist.

Die Sepulchre-Malware wird über Phishing-E-Mails verbreitet

Bei dem Angriff auf die europäischen Organisationen beschloss TA413, die Verwirrung und Unsicherheit im Zusammenhang mit der COVID-19-Pandemie auszunutzen, und erstellte die beschädigten E-Mails, um die kritischen Vorbereitungs-, Bereitschafts- und Reaktionsmaßnahmen der WHO (Weltgesundheitsorganisation) für COVID-19 nachzuahmen. Dokument mit vorläufigen Leitlinien. Die Phishing-E-Mails enthielten eine beschädigte RTF-Datei, die bei ihrer Ausführung eine Microsoft Equation Editor-Sicherheitsanfälligkeit ausnutzte, um ein RTF-Objekt unter dem Deckmantel der Windows-Metadatei (WMF) in einem vorgegebenen Verzeichnis unter % \ AppData \ Local \ Temp \ wd4sx zu installieren .wmf . Die Ausführung der WMF-Datei führt zur Übermittlung der Sepulchre-Nutzdaten an den infizierten Computer.

Bei dem Phishing-Angriff gegen tibetische Unternehmen verwendete ATP413 ein kompromittiertes PowerPoint (PPXS) mit dem Namen "TIBETANER WERDEN VON TÖDLICHEN VIREN, DIE EINE GEWEHR TRAGEN UND CHINESE.ppsx SPRECHEN". Bei der Ausführung stellt die ppsx-Datei eine Verbindung zur IP-Adresse IP 118.99.13.4 her und lädt die Sepulchre-Malware-Nutzdaten mit dem Namen 'file.dll' herunter. Nach dem Speichern auf dem gefährdeten System wird die Nutzdatendatei in "credential.dll" umbenannt.

Die Sepulchre-Malware ist eine starke RATTE  

Während die Sepulchre-Malware möglicherweise keine noch nie dagewesene Technologie verwendet, handelt es sich immer noch um einen bedrohlichen RAT (Remote Access Trojan), der mit zahlreichen Funktionen zur Datenerfassung und Systemmanipulation ausgestattet ist. Wenn der beschädigte E-Mail-Anhang ausgeführt wird, wird eine Datei mit dem Namen 'wd4sx.wmf' gelöscht, die die Nutzlast der Sepulchre-Malware und eine Nutzlast-Pipette enthält. Der Dropper hat die Form einer temporären Datei mit dem Namen "OSEB979.tmp". Seine Aufgabe besteht darin, die Sepulchre-Malware als " credential.dll " an das Verzeichnis% AppData% \ Roaming \ Identities \ Credential.dll zu senden . Die Malware erreicht Persistenz, indem sie die Datei rundlll32.exe verwendet und die Exportfunktion 'GetObjectCount' über den folgenden Befehl ausnutzt:

schtasks / create / tr "rundll32.exe% APPDATA% \ Identities \ Credential.dll, GetObjectCount" / tn "lemp" / sc STUNDEN

Die Sepulchre-Malware stellt über drei verschiedene Ports - 80, 443 und 8080 - eine Verbindung zur IP-Adresse 107.151.194.197 her. Nach dem Empfang bestimmter Befehle kann die Sepulchre-Malware Daten vom infizierten System erfassen, eine umgekehrte Befehlsshell erstellen und bearbeiten Dateien und Verzeichnisse. Zu den von der Sepulchre-Malware gesammelten Informationen gehören Details zu den mit dem gefährdeten Gerät verbundenen Laufwerken, Verzeichnispfade, laufenden Prozessen, Diensten und Dateiinformationen.