ESET፡ ለ OceanLotus ሳይበር ቡድን አዲስ የጓሮ መላኪያ ዕቅዶች

በዚህ ልኡክ ጽሁፍ ላይ የሳይበር ቡድን OceanLotus (APT32 እና APT-C-00) በቅርቡ በይፋ ከሚገኙት ብዝበዛዎች አንዱን እንዴት እንደተጠቀመ እናነግርዎታለን። CVE-2017-11882፣ በማይክሮሶፍት ኦፊስ ውስጥ ያሉ የማህደረ ትውስታ ሙስና ተጋላጭነቶች እና የቡድኑ ተንኮል አዘል ዌር እንዴት በተበላሹ ሲስተሞች ላይ ዱካ ሳያስቀሩ ጽናት እንደሚያገኙ። በመቀጠል፣ ከ2019 መጀመሪያ ጀምሮ ቡድኑ እንዴት ኮድን ለማስኬድ እራሱን የሚያወጡ ማህደሮችን ሲጠቀም እንደነበረ እንገልፃለን።

ውቅያኖስ ሎተስ በሳይበር የስለላ ስራ ላይ የተሰማራ ሲሆን ቅድሚያ የሚሰጣቸው ግቦች በደቡብ ምስራቅ እስያ የሚገኙ ሀገራት ናቸው። አጥቂዎች ተጎጂዎችን ቀልብ የሚስቡ ሰነዶችን በመስራት የጓሮ በር እንዲፈጽሙ ለማሳመን እና መሳሪያዎችን በማዘጋጀት ላይ ይገኛሉ ። የማር ማሰሮዎችን ለመፍጠር ጥቅም ላይ የሚውሉት ዘዴዎች ከ "ድርብ-ማራዘሚያ" ፋይሎች, ራስን የማውጣት ማህደሮች, ሰነዶች ከማክሮዎች ጋር, እስከ ታዋቂ ብዝበዛዎች ድረስ በተለያዩ ጥቃቶች ይለያያሉ.

በማይክሮሶፍት እኩልታ አርታዒ ውስጥ ብዝበዛን መጠቀም

በ2018 አጋማሽ ላይ፣ OceanLotus የCVE-2017-11882 ተጋላጭነትን የሚጠቀም ዘመቻ አካሂዷል። ከሳይበር ቡድን ተንኮል አዘል ሰነዶች አንዱ ከ 360 ዛቻ ኢንተለጀንስ ሴንተር በመጡ ልዩ ባለሙያተኞች ተተነተነ።በቻይንኛ ምርምር), ስለ ብዝበዛ ዝርዝር መግለጫን ጨምሮ. ከታች ያለው ልጥፍ የእንደዚህ አይነት ተንኮል አዘል ሰነድ አጠቃላይ እይታ ይዟል።

የመጀመሪያ ደረጃ

ሰነዱ ፡፡ FW Report on demonstration of former CNRP in Republic of Korea.doc (SHA-1፡ D1357B284C951470066AAA7A8228190B88A5C7C3) ከላይ ባለው ጥናት ላይ ከተጠቀሰው ጋር ተመሳሳይ ነው. በጣም የሚስብ ነው ምክንያቱም በካምቦዲያ ፖለቲካ ላይ ፍላጎት ላላቸው ተጠቃሚዎች (CNRP - የካምቦዲያ ብሔራዊ አድን ፓርቲ፣ በ2017 መጨረሻ ላይ የተፈታ) ላይ ያነጣጠረ ነው። የ.ዶክ ቅጥያ ቢሆንም፣ ሰነዱ በ RTF ቅርጸት ነው (ከዚህ በታች ያለውን ምስል ይመልከቱ)፣ የቆሻሻ ኮድ ይዟል እና እንዲሁም የተዛባ ነው።

ምስል 1. "ቆሻሻ" በ RTF

ምንም እንኳን የተጎረጎሩ ንጥረ ነገሮች ቢኖሩም ዎርድ ይህን የ RTF ፋይል በተሳካ ሁኔታ ይከፍታል። በስእል 2 ላይ እንደሚታየው፣ በ0xC00 ላይ የEQNOLEFILEHDR መዋቅር አለ፣ በመቀጠልም MTEF ራስጌ፣ እና ከዚያ ለፎንት MTEF ግቤት (ስእል 3)።

ምስል 2. FONT የመግቢያ ዋጋዎች

ምስል 3. የFONT ቀረጻ ቅርጸት

በመስክ ላይ ሊፈጠር የሚችል የውሃ ፍሰት ስም, ምክንያቱም መጠኑ ከመቅዳት በፊት አይመረመርም. በጣም ረጅም የሆነ ስም ተጋላጭነትን ያነሳሳል። ከ RTF ፋይል ይዘት ማየት እንደምትችለው (በስእል 0 ውስጥ 26xC2 ማካካሻ)፣ ቋቱ በሼልኮድ ተሞልቷል፣ ከዚያም በዱሚ ትዕዛዝ (0x90) እና አድራሻውን ይመልሱ 0x402114. አድራሻው የንግግር አካል ነው። EQNEDT32.exe, መመሪያዎችን የሚያመለክት RET. ይህ EIP የሜዳውን መጀመሪያ እንዲያመለክት ያደርገዋል ስምየሼልኮድ ኮድ የያዘ.

ምስል 4. የብዝበዛው ሼልኮድ መጀመሪያ

አድራሻ 0x45BD3C አሁን ለተጫነው መዋቅር ጠቋሚ እስኪደርስ ድረስ የሚገለጽ ተለዋዋጭ ያከማቻል MTEFData. የቀረው የሼልኮድ ኮድ እዚህ አለ።

የሼልኮድ አላማ በክፍት ሰነድ ውስጥ የተካተተውን ሁለተኛውን የሼልኮድ ቁራጭ ማስፈጸም ነው። የመጀመሪያው የሼልኮድ ኮድ መጀመሪያ በሁሉም የስርዓት ገላጭዎች ላይ በመድገም የክፍት ሰነድ ፋይል ገላጭ ለማግኘት ይሞክራል (NtQuerySystemInformation ከክርክር ጋር SystemExtendedHandleInformation) እና የሚዛመዱ መሆናቸውን ማረጋገጥ የ PID ገላጭ እና የ PID ሂደት WinWord እና ሰነዱ በመዳረሻ ጭንብል የተከፈተ ከሆነ - 0x12019F.

ትክክለኛው እጀታ መገኘቱን ለማረጋገጥ (እና መያዣው ለሌላ ክፍት ሰነድ አይደለም), የፋይሉ ይዘት ተግባሩን በመጠቀም ይታያል. CreateFileMappingእና ሼልኮዱ የሰነዱ የመጨረሻዎቹ አራት ባይት ይዛመዳሉ እንደሆነ ያረጋግጣል።yyyy"(የእንቁላል ማደን ዘዴ)። አንዴ ተዛማጅ ከተገኘ ሰነዱ ወደ ጊዜያዊ አቃፊ ይገለበጣል (GetTempPath) እንደ ole.dll. ከዚያ የሰነዱ የመጨረሻዎቹ 12 ባይት ይነበባሉ።

ምስል 5. የሰነድ ጠቋሚዎች መጨረሻ

32-ቢት በጠቋሚዎች መካከል AABBCCDD и yyyy የሚቀጥለው የሼልኮድ ማካካሻ ነው። ተግባሩን በመጠቀም ይባላል CreateThread. ቀደም ብሎ በውቅያኖስ ሎተስ ቡድን ጥቅም ላይ የዋለውን ተመሳሳይ ሼል ኮድ አውጥቷል። የ Python emulation ስክሪፕትበማርች 2018 የለቀቅነው አሁንም ለሁለተኛ ደረጃ ቆሻሻ መጣያ ይሰራል።

ሁለተኛ ደረጃ

አካላትን በማስወገድ ላይ

የፋይል እና የማውጫ ስሞች በተለዋዋጭነት ተመርጠዋል። ኮዱ በአጋጣሚ የሚፈፀመውን ወይም የ DLL ፋይል ስም ይመርጣል C:Windowssystem32. ከዚያም ለሀብቱ ጥያቄ ያቀርባል እና መስኩን ሰርስሮ ያወጣል። FileDescription እንደ አቃፊ ስም ለመጠቀም። ይህ ካልሰራ ኮዱ በዘፈቀደ ከማውጫዎቹ ውስጥ የአቃፊ ስም ይመርጣል %ProgramFiles% ወይም C:Windows (ከ GetWindowsDirectoryW)። ከነባር ፋይሎች ጋር ሊጋጭ የሚችል ስም ከመጠቀም ይቆጠባል እና የሚከተሉትን ቃላት እንዳልያዘ ያረጋግጣል፡ windows, Microsoft, desktop, system, system32 ወይም syswow64. ማውጫው አስቀድሞ ካለ፣ "NLS_{6 characters}" በስሙ ላይ ተያይዟል።

ምንጭ 0x102 የተተነተነ እና ፋይሎች ወደ ውስጥ ይጣላሉ %ProgramFiles% ወይም %AppData%፣ በዘፈቀደ ወደተመረጠው አቃፊ። ተመሳሳይ እሴቶች እንዲኖራቸው የፍጥረት ጊዜ ተለውጧል kernel32.dll.

ለምሳሌ፣ የሚፈፀመውን በመምረጥ የተፈጠሩ ማህደሮች እና የፋይሎች ዝርዝር እዚህ አለ። C:Windowssystem32TCPSVCS.exe እንደ የውሂብ ምንጭ.

ምስል 6. የተለያዩ ክፍሎችን ማውጣት

የንብረት መዋቅር 0x102 በ dropper ውስጥ በጣም ውስብስብ ነው. ባጭሩ በውስጡ፡-
- የፋይል ስሞች
- የፋይል መጠን እና ይዘት
- የመጨመቂያ ቅርጸት (COMPRESSION_FORMAT_LZNT1, በተግባሩ ጥቅም ላይ የዋለ RtlDecompressBuffer)

የመጀመሪያው ፋይል እንደ ዳግም ተጀምሯል። TCPSVCS.exe, ይህም ህጋዊ ነው AcroTranscoder.exe (አጭጮርዲንግ ቶ FileDescription፣ SHA-1፡ 2896738693A8F36CC7AD83EF1FA46F82F32BE5A3).

አንዳንድ ዲኤልኤል ፋይሎች ከ11 ሜባ እንደሚበልጡ አስተውለህ ይሆናል። ይህ የሆነበት ምክንያት ትልቅ የዘፈቀደ ውሂብ ቋት በሚሰራው ፋይል ውስጥ ስለሚቀመጥ ነው። በአንዳንድ የደህንነት ምርቶች እንዳይታወቅ ይህ መንገድ ሊሆን ይችላል.

ጽናት ማረጋገጥ

ምንጭ 0x101 በ dropper ውስጥ ጽናት እንዴት መቅረብ እንዳለበት የሚገልጹ ሁለት ባለ 32-ቢት ኢንቲጀር ይዟል። የመጀመርያው ዋጋ ማልዌር ያለአስተዳዳሪ መብቶች እንዴት እንደሚቀጥል ይገልጻል።

ሠንጠረዥ 1. የአስተዳዳሪ መብቶች ሳይኖር የመቆየት ዘዴ

የሁለተኛው ኢንቲጀር ዋጋ ከአስተዳዳሪ መብቶች ጋር ሲሰራ ማልዌር እንዴት ጽናት ማግኘት እንዳለበት ይገልጻል።

ሠንጠረዥ 2. ከአስተዳዳሪ መብቶች ጋር የመቆየት ዘዴ

የአገልግሎት ስም ያለ ቅጥያ የፋይል ስም ነው; የማሳያው ስም የአቃፊው ስም ነው, ነገር ግን ቀድሞውኑ ካለ, " ሕብረቁምፊው በእሱ ላይ ተያይዟልRevision 1” (ጥቅም ላይ ያልዋለ ስም እስኪገኝ ድረስ ቁጥሩ ይጨምራል)። ኦፕሬተሮቹ በአገልግሎቱ በኩል ያለው ጽናት ጠንካራ መሆኑን አረጋግጠዋል - ውድቀት በሚከሰትበት ጊዜ አገልግሎቱ ከ 1 ሰከንድ በኋላ እንደገና መጀመር አለበት። ከዚያም እሴቱ WOW64 የአዲሱ አገልግሎት መዝገብ ቁልፍ ወደ 4 ተቀናብሯል ይህም ባለ 32 ቢት አገልግሎት መሆኑን ያሳያል።

መርሐግብር የተያዘለት ተግባር በበርካታ COM በይነገጾች በኩል ይፈጠራል። ITaskScheduler, ITask, ITaskTrigger, IPersistFile и ITaskScheduler. በመሠረቱ ማልዌር የተደበቀ ተግባር ይፈጥራል፣ የመለያውን መረጃ ከአሁኑ ተጠቃሚ ወይም የአስተዳዳሪ መረጃ ጋር ያዘጋጃል፣ እና ቀስቅሴውን ያዘጋጃል።

ይህ የ 24 ሰአት ቆይታ ያለው የእለት ተእለት ስራ ሲሆን በሁለት አፈፃፀም መካከል ያለው የ10 ደቂቃ ልዩነት ነው ይህም ማለት ያለማቋረጥ ይሰራል ማለት ነው።

ተንኮለኛ ቢት

በእኛ ምሳሌ ውስጥ, ሊተገበር የሚችል ፋይል TCPSVCS.exe (AcroTranscoder.exe) ከሱ ጋር ዳግም የተጀመሩ ዲኤልኤልዎችን የሚጭን ህጋዊ ሶፍትዌር ነው። በዚህ ጉዳይ ላይ ፍላጎት ያለው ነው Flash Video Extension.dll.

ተግባሩ DLLMain ሌላ ተግባር ብቻ ይጠራል። አንዳንድ ደብዛዛ ትንበያዎች ይገኛሉ፡-

ምስል 7. ደብዛዛ ትንበያዎች

ከእነዚህ የተሳሳቱ ቼኮች በኋላ, ኮዱ ክፍል ያገኛል .text ፋይል TCPSVCS.exe, መከላከያውን ይለውጣል PAGE_EXECUTE_READWRITE እና ዱሚ መመሪያዎችን በማከል እንደገና ይጽፈዋል፡-

ምስል 8. የመመሪያዎች ቅደም ተከተል

በተግባሩ አድራሻ መጨረሻ ላይ FLVCore::Uninitialize(void)፣ ወደ ውጭ ተልኳል። Flash Video Extension.dll, መመሪያ ተጨምሯል CALL. ይህ ማለት ተንኮል-አዘል DLL ከተጫነ በኋላ, የሩጫ ጊዜ ሲደወል WinMain в TCPSVCS.exe, የመመሪያው ጠቋሚ ወደ NOP ይጠቁማል, ያስከትላል FLVCore::Uninitialize(void), ቀጣዩ ደረጃ.

ተግባሩ በቀላሉ የሚጀምር ሙቴክስ ይፈጥራል {181C8480-A975-411C-AB0A-630DB8B0A221}የአሁኑ የተጠቃሚ ስም ተከትሎ. ከዚያም የተጣለውን *.db3 ፋይል ያነባል፣ከቦታ-ገለልተኛ ኮድ የያዘ እና ይጠቀማል CreateThread ይዘቱን ለማስፈጸም.

የ*.db3 ፋይል ይዘት የ OceanLotus ቡድን በተለምዶ የሚጠቀመው የሼል ኮድ ነው። ያሳተምነውን የኢሙሌተር ስክሪፕት ተጠቅመን ክፍያውን በተሳካ ሁኔታ ፈትተናል በ GitHub ላይ.

ስክሪፕቱ የመጨረሻውን ደረጃ ያወጣል። ይህ አካል ቀደም ብለን የተተነተነው የኋላ በር ነው። የቀድሞው የ OceanLotus ጥናት. ይህ በGUID ሊወሰን ይችላል። {A96B020F-0000-466F-A96D-A91BBF8EAC96} ሁለትዮሽ ፋይል. የማልዌር አወቃቀሩ አሁንም በPE መርጃው ውስጥ ተመስጥሯል። በግምት ተመሳሳይ ውቅር አለው፣ ነገር ግን የC&C አገልጋዮች ከቀደምቶቹ የተለዩ ናቸው።

- andreagahuvrauvin[.]com
- byronorenstein[.]com
- stienollmache[.]xyz

የ OceanLotus ቡድን መለየትን ለማስወገድ የተለያዩ ቴክኒኮችን ጥምረት በድጋሚ ያሳያል። የኢንፌክሽኑን ሂደት "የተጣራ" ንድፍ ይዘው ተመልሰዋል. የዘፈቀደ ስሞችን በመምረጥ እና ተፈፃሚዎችን በዘፈቀደ ውሂብ በመሙላት፣ አስተማማኝ IoCዎችን ቁጥር ይቀንሳሉ (በሃሽ እና የፋይል ስሞች ላይ በመመስረት)። በተጨማሪም ፣ ለሶስተኛ ወገን DLL ጭነት አጠቃቀም ምስጋና ይግባውና አጥቂዎች ህጋዊውን ሁለትዮሽ ብቻ ማስወገድ አለባቸው። AcroTranscoder.

ራስን የማውጣት ማህደሮች

ከ RTF ፋይሎች በኋላ፣ ቡድኑ ተጠቃሚውን የበለጠ ለማደናገር ወደ እራስ-ማውጣት (ኤስኤፍኤክስ) ማህደሮች ከተለመዱ የሰነድ አዶዎች ጋር ተዛወረ። ዛቻ ቡክ ስለዚህ ጉዳይ ጽፏል (አገናኝ በቻይንኛ). ሲጀመር፣ እራስን የሚያወጡ RAR ፋይሎች ይወድቃሉ እና DLLs .ocx ቅጥያ ያላቸው ይከፈላሉ፣የመጨረሻው ጭነት ከዚህ ቀደም ተመዝግቧል። {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll. ከጃንዋሪ 2019 አጋማሽ ጀምሮ፣ OceanLotus ይህንን ቴክኒክ እንደገና ሲጠቀሙ ቆይተዋል፣ ነገር ግን በጊዜ ሂደት አንዳንድ ውቅሮችን ይለውጣሉ። በዚህ ክፍል ውስጥ ስለ ቴክኒኩ እና ለውጦች እንነጋገራለን.

ማባበያ መፍጠር

ሰነዱ ፡፡ THICH-THONG-LAC-HANH-THAP-THIEN-VIET-NAM (1).EXE (SHA-1፡ AC10F5B1D5ECAB22B7B418D6E98FA18E32BBDEAB) ለመጀመሪያ ጊዜ የተገኘው በ2018 ነው። ይህ የኤስኤፍኤክስ ፋይል የተፈጠረው በጥበብ ነው - በመግለጫው ውስጥ (የስሪት መረጃ) ይህ የ JPEG ምስል ነው ይላል። የኤስኤፍኤክስ ስክሪፕት ይህን ይመስላል።

ምስል 9. የ SFX ትዕዛዞች

ማልዌር ዳግም ይጀምራል {9ec60ada-a200-4159-b310-8071892ed0c3}.ocx (SHA-1፡ EFAC23B0E6395B1178BCF7086F72344B24C04DCC), እንዲሁም ስዕል 2018 thich thong lac.jpg.

የማታለያው ምስል ይህን ይመስላል።

ምስል 10. የማስዋቢያ ምስል

በ SFX ስክሪፕት ውስጥ ያሉት የመጀመሪያዎቹ ሁለት መስመሮች የ OCX ፋይልን ሁለት ጊዜ እንደሚጠሩት አስተውለህ ይሆናል፣ ይህ ግን ስህተት አይደለም።

{9ec60ada-a200-4159-b310-8071892ed0c3}.ocx (ShLd.dll)

የ OCX ፋይል የቁጥጥር ፍሰት ከሌሎች የ OceanLotus ክፍሎች ጋር በጣም ተመሳሳይ ነው - ብዙ የትእዛዝ ቅደም ተከተሎች JZ/JNZ и PUSH/RET፣ ከቆሻሻ ኮድ ጋር እየተፈራረቁ።

ምስል 11. የተደበቀ ኮድ

ቆሻሻ ኮድ ካጣራ በኋላ ወደ ውጪ ላክ DllRegisterServer, ተጠርቷል regsvr32.exe, እንደሚከተለው:

ምስል 12. መሰረታዊ የመጫኛ ኮድ

በመሠረቱ, በመጀመሪያው ጥሪ ላይ DllRegisterServer ወደ ውጭ መላክ የመመዝገቢያ ዋጋን ያዘጋጃል። HKCUSOFTWAREClassesCLSID{E08A0F4B-1F65-4D4D-9A09-BD4625B9C5A1}Model በዲኤልኤል ውስጥ ለተመሰጠረ ማካካሻ (0x10001DE0).

ተግባሩ ለሁለተኛ ጊዜ ሲጠራ, ተመሳሳይ እሴት ያነባል እና በዚያ አድራሻ ይሠራል. ከዚህ በመነሳት ሀብቱ እና በ RAM ውስጥ ያሉ ብዙ ድርጊቶች ተነብበዋል እና ተፈፅመዋል።

የሼልኮድ ኮድ ባለፉት የውቅያኖስ ሎተስ ዘመቻዎች ጥቅም ላይ የዋለው ተመሳሳይ የPE ጫኚ ነው። በመጠቀም መኮረጅ ይቻላል። የእኛ ስክሪፕት. በመጨረሻ እንደገና ያስጀምራል። db293b825dcc419ba7dc2c49fa2757ee.dll, ወደ ማህደረ ትውስታ ይጭናል እና ያስፈጽማል DllEntry.

ዲኤልኤል የንብረቱን ይዘቶች ያወጣል፣ ዲክሪፕት ያደርጋል (AES-256-CBC) እና ፈታ (LZMA)። ሀብቱ ለመበተን ቀላል የሆነ የተወሰነ ቅርጸት አለው.

ምስል 13. የመጫኛ ውቅር መዋቅር (KaitaiStruct Visualizer)

ውቅሩ በግልጽ ተገልጿል - እንደ ልዩ መብት ደረጃ፣ ሁለትዮሽ ውሂብ ይጻፋል %appdata%IntellogsBackgroundUploadTask.cpl ወይም %windir%System32BackgroundUploadTask.cpl (ወይም SysWOW64 ለ 64-ቢት ስርዓቶች).

ተጨማሪ ጽናት ከስሙ ጋር አንድ ተግባር በመፍጠር ይረጋገጣል BackgroundUploadTask[junk].jobየት [junk] የባይት ስብስብን ይወክላል 0x9D и 0xA0.

የተግባር ማመልከቻ ስም %windir%System32control.exe, እና የመለኪያ እሴቱ የወረደው የሁለትዮሽ ፋይል መንገድ ነው. የተደበቀው ተግባር በየቀኑ ይሰራል.

በመዋቅር የCPL ፋይል የውስጥ ስም ያለው ዲኤልኤል ነው። ac8e06de0a6c4483af9837d96504127e.dllተግባር ወደ ውጭ የሚላከው CPlApplet. ይህ ፋይል ብቸኛ ሀብቱን ዲክሪፕት ያደርጋል {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll, ከዚያ ይህን DLL ይጫኑ እና ወደ ውጭ የሚላከው ብቸኛውን ይደውሉ DllEntry.

የኋላ ውቅር ፋይል

የኋለኛው በር ውቅረት የተመሰጠረ እና በሀብቶቹ ውስጥ የተካተተ ነው። የማዋቀሪያው ፋይል አወቃቀር ከቀዳሚው ጋር በጣም ተመሳሳይ ነው።

ምስል 14. የጀርባ ውቅር መዋቅር (KaitaiStruct Visualizer)

ምንም እንኳን አወቃቀሩ ተመሳሳይ ቢሆንም፣ ብዙዎቹ የመስክ እሴቶች ከሚታየው ውስጥ ተዘምነዋል የቀድሞ ዘገባችን.

የሁለትዮሽ ድርድር የመጀመሪያው አካል ዲኤልኤልን ይይዛል (HttpProv.dll ኤምዲ 5 2559738D1BD4A999126F900C7357B759), በ Tencent ተለይቷል።. ነገር ግን ወደ ውጭ የሚላከው ስም ከሁለትዮሽ ስለተወገደ ሃሽዎቹ አይዛመዱም።

ተጨማሪ ምርምር

ናሙናዎችን ስንሰበስብ አንዳንድ ባህሪያትን አስተውለናል. አሁን የተገለጸው ናሙና በጁላይ 2018 አካባቢ ታየ፣ እና እንደ እሱ ያሉ ሌሎች ከጃንዋሪ አጋማሽ እስከ የካቲት 2019 መጀመሪያ ድረስ ታይተዋል። የኤስኤፍኤክስ ማህደር ህጋዊ የማታለያ ሰነድ እና ተንኮል አዘል የOSX ፋይል በመጣል እንደ ኢንፌክሽን ቬክተር ጥቅም ላይ ውሏል።

ውቅያኖስ ሎተስ የውሸት የጊዜ ማህተም ቢጠቀምም የኤስኤፍኤክስ እና የ OCX ፋይሎች የጊዜ ማህተም ሁሌም አንድ አይነት መሆናቸውን አስተውለናል (0x57B0C36A (08/14/2016 @ 7:15 ከሰዓት UTC) እና 0x498BE80F (02/06/2009 @ 7:34am UTC) በቅደም ተከተል)። ይህ ምናልባት ደራሲዎቹ ተመሳሳይ አብነቶችን የሚጠቀሙ እና አንዳንድ ባህሪያትን የሚቀይሩ አንዳንድ ዓይነት "ንድፍ አውጪ" እንዳላቸው ያሳያል።

ከ 2018 መጀመሪያ ጀምሮ ካጠናናቸው ሰነዶች መካከል የአጥቂዎቹን ፍላጎት የሚያመለክቱ የተለያዩ ስሞች አሉ ።

- የካምቦዲያ ሚዲያ አዲሱ የእውቂያ መረጃ (አዲስ) .xls.exe
- 李建香 (个人简历) .exe (የሲቪ የውሸት ፒዲኤፍ ሰነድ)
- ግብረ መልስ፣ Rally in USA ከጁላይ 28-29፣ 2018.exe

የጀርባው በር ስለተገኘ {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll እና የእሱ ትንታኔ በበርካታ ተመራማሪዎች ህትመት, በማልዌር ውቅር ውሂብ ላይ አንዳንድ ለውጦችን አስተውለናል.

በመጀመሪያ፣ ደራሲዎቹ ከረዳት DLLs ስሞችን ማስወገድ ጀመሩ (DNSprov.dll እና ሁለት ስሪቶች HttpProv.dll). ከዚያም ኦፕሬተሮቹ ሶስተኛውን DLL (ሁለተኛው ስሪት) ማሸግ አቆሙ HttpProv.dll), አንዱን ብቻ ለመክተት መምረጥ.

በሁለተኛ ደረጃ፣ ብዙ የበር ማዋቀሪያ መስኮች ተለውጠዋል፣ ብዙ አይኦሲዎች መገኘታቸውን ሊያመልጡ ይችላሉ። በጸሐፊዎቹ የተሻሻሉ አስፈላጊ መስኮች የሚከተሉትን ያካትታሉ:

• AppX የመመዝገቢያ ቁልፍ ተቀይሯል (አይኦሲዎችን ይመልከቱ)
• mutex ኢንኮዲንግ ሕብረቁምፊ ("def", "abc", "ghi")
• የወደብ ቁጥር

በመጨረሻም፣ ሁሉም አዲስ ስሪቶች የተተነተኑ አዲስ C&Cዎች በአይኦሲዎች ክፍል ውስጥ ተዘርዝረዋል።

ግኝቶች

OceanLotus እድገቱን ቀጥሏል. የሳይበር ቡድን መሳሪያዎችን እና ማታለያዎችን በማጣራት እና በማስፋፋት ላይ ያተኮረ ነው. ደራሲዎች ርእሳቸው ለታለመላቸው ተጎጂዎች ጠቃሚ የሆነ ትኩረት የሚስቡ ሰነዶችን በመጠቀም ተንኮል አዘል ጭነቶችን ይደብቃሉ። አዳዲስ ዕቅዶችን ያዘጋጃሉ እንዲሁም በይፋ የሚገኙ መሣሪያዎችን ይጠቀማሉ፣ እንደ የእኩልታ አርታዒ ብዝበዛ። ከዚህም በላይ በተጎጂዎች ማሽኖች ላይ የሚቀሩ ቅርሶችን ለመቀነስ የሚረዱ መሳሪያዎችን በማሻሻል በጸረ-ቫይረስ ሶፍትዌሮች የመገኘት እድልን ይቀንሳል።

የስምምነት አመልካቾች

የስምምነት አመላካቾች እንዲሁም MITER ATT&CK ባህሪያት ይገኛሉ በWelivesecurity ላይ и በ GitHub ላይ.

ምንጭ: hab.com