🥇ESET: Νέα προγράμματα παράδοσης στο πίσω μέρος της OceanLotus

Σε αυτήν την ανάρτηση θα σας πούμε πώς η ομάδα κυβερνοχώρου OceanLotus (APT32 και APT-C-00) χρησιμοποίησε πρόσφατα ένα από τα δημόσια διαθέσιμα exploit για CVE-2017-11882, τρωτά σημεία καταστροφής της μνήμης στο Microsoft Office και πώς το κακόβουλο λογισμικό της ομάδας επιτυγχάνει διατήρηση σε παραβιασμένα συστήματα χωρίς να αφήνει ίχνη. Στη συνέχεια, θα περιγράψουμε πώς, από τις αρχές του 2019, η ομάδα χρησιμοποιεί αρχεία αυτοεξαγωγής για την εκτέλεση κώδικα.

Η OceanLotus ειδικεύεται στην κατασκοπεία στον κυβερνοχώρο, με στόχο προτεραιότητας τις χώρες της Νοτιοανατολικής Ασίας. Οι επιτιθέμενοι πλαστογραφούν έγγραφα που προσελκύουν την προσοχή των πιθανών θυμάτων για να τα πείσουν να εκτελέσουν την κερκόπορτα και εργάζονται επίσης για την ανάπτυξη εργαλείων. Οι μέθοδοι που χρησιμοποιούνται για τη δημιουργία honeypots ποικίλλουν μεταξύ των επιθέσεων, από αρχεία «διπλής επέκτασης», αρχεία αυτοεξαγωγής, έγγραφα με μακροεντολές έως γνωστά exploits.

Χρήση ενός exploit στο Microsoft Equation Editor

Στα μέσα του 2018, η OceanLotus πραγματοποίησε μια καμπάνια εκμεταλλευόμενη την ευπάθεια CVE-2017-11882. Ένα από τα κακόβουλα έγγραφα της ομάδας στον κυβερνοχώρο αναλύθηκε από ειδικούς από το 360 Threat Intelligence Center (έρευνα στα κινέζικα), συμπεριλαμβανομένης μιας λεπτομερούς περιγραφής του exploit. Η παρακάτω ανάρτηση περιέχει μια επισκόπηση ενός τέτοιου κακόβουλου εγγράφου.

Το πρώτο στάδιο

Το έγγραφο FW Report on demonstration of former CNRP in Republic of Korea.doc (SHA-1: D1357B284C951470066AAA7A8228190B88A5C7C3) είναι παρόμοια με αυτή που αναφέρεται στην παραπάνω μελέτη. Είναι ενδιαφέρον γιατί απευθύνεται σε χρήστες που ενδιαφέρονται για την πολιτική της Καμπότζης (CNRP - Εθνικό Κόμμα Διάσωσης της Καμπότζης, που διαλύθηκε στα τέλη του 2017). Παρά την επέκταση .doc, το έγγραφο είναι σε μορφή RTF (δείτε την παρακάτω εικόνα), περιέχει κώδικα σκουπιδιών και είναι επίσης παραμορφωμένο.

Εικόνα 1. «Σκουπίδια» στο RTF

Παρόλο που υπάρχουν μπερδεμένα στοιχεία, το Word ανοίγει αυτό το αρχείο RTF με επιτυχία. Όπως μπορείτε να δείτε στο Σχήμα 2, υπάρχει μια δομή EQNOLEFILEHDR σε μετατόπιση 0xC00, ακολουθούμενη από μια κεφαλίδα MTEF και στη συνέχεια μια καταχώρηση MTEF (Εικόνα 3) για τη γραμματοσειρά.

Εικόνα 2. Τιμές εισαγωγής FONT

Σχήμα 3. Μορφή εγγραφής FONT

Πιθανή υπερχείλιση στο χωράφι όνομα, γιατί το μέγεθός του δεν ελέγχεται πριν την αντιγραφή. Ένα όνομα που είναι πολύ μεγάλο ενεργοποιεί μια ευπάθεια. Όπως μπορείτε να δείτε από τα περιεχόμενα του αρχείου RTF (μετατόπιση 0xC26 στο Σχήμα 2), το buffer γεμίζει με shellcode ακολουθούμενο από μια εικονική εντολή (0x90) και διεύθυνση επιστροφής 0x402114. Η διεύθυνση είναι ένα στοιχείο διαλόγου στο EQNEDT32.exe, υποδεικνύοντας οδηγίες RET. Αυτό κάνει το EIP να δείχνει στην αρχή του πεδίου όνομαπου περιέχει τον shellcode.

Σχήμα 4. Αρχή του κελύφους του exploit

διεύθυνση 0x45BD3C αποθηκεύει μια μεταβλητή που δεν αναφέρεται μέχρι να φτάσει σε έναν δείκτη στην τρέχουσα φορτωμένη δομή MTEFData. Το υπόλοιπο του shellcode είναι εδώ.

Ο σκοπός του shellcode είναι να εκτελέσει το δεύτερο κομμάτι shellcode που είναι ενσωματωμένο στο ανοιχτό έγγραφο. Ο αρχικός κώδικας φλοιού προσπαθεί πρώτα να βρει τον περιγραφέα αρχείου του ανοιχτού εγγράφου επαναλαμβάνοντας πάνω από όλους τους περιγραφείς συστήματος (NtQuerySystemInformation με επιχείρημα SystemExtendedHandleInformation) και έλεγχος αν ταιριάζουν PID περιγραφέας και PID επεξεργάζομαι, διαδικασία WinWord και αν το έγγραφο ανοίχτηκε με μάσκα πρόσβασης - 0x12019F.

Για να επιβεβαιώσετε ότι βρέθηκε η σωστή λαβή (και όχι η λαβή σε άλλο ανοιχτό έγγραφο), τα περιεχόμενα του αρχείου εμφανίζονται χρησιμοποιώντας τη λειτουργία CreateFileMapping, και ο κώδικας φλοιού ελέγχει εάν τα τέσσερα τελευταία byte του εγγράφου ταιριάζουν με "yyyy«(Μέθοδος κυνηγιού αυγών). Μόλις βρεθεί μια αντιστοίχιση, το έγγραφο αντιγράφεται σε έναν προσωρινό φάκελο (GetTempPath) Πως ole.dll. Στη συνέχεια διαβάζονται τα τελευταία 12 byte του εγγράφου.

Εικόνα 5. Τέλος δεικτών εγγράφων

Τιμή 32 bit μεταξύ δεικτών AABBCCDD и yyyy είναι η μετατόπιση του επόμενου shellcode. Καλείται χρησιμοποιώντας τη συνάρτηση CreateThread. Εξήγαγε τον ίδιο shellcode που χρησιμοποιούσε νωρίτερα η ομάδα OceanLotus. Σενάριο εξομοίωσης Python, που κυκλοφόρησε τον Μάρτιο του 2018, εξακολουθεί να λειτουργεί για το δεύτερο στάδιο.

Το δεύτερο στάδιο

Αφαίρεση εξαρτημάτων

Τα ονόματα αρχείων και καταλόγων επιλέγονται δυναμικά. Ο κώδικας επιλέγει τυχαία το όνομα του εκτελέσιμου αρχείου ή του αρχείου DLL C:Windowssystem32. Στη συνέχεια, κάνει ένα αίτημα στους πόρους του και ανακτά το πεδίο FileDescription για χρήση ως όνομα φακέλου. Εάν αυτό δεν λειτουργήσει, ο κώδικας επιλέγει τυχαία ένα όνομα φακέλου από τους καταλόγους %ProgramFiles% ή C:Windows (из GetWindowsDirectoryW). Он избегает использования имени, которое может конфликтовать с существующими файлами, и следит за тем, чтобы оно не содержало следующие слова: windows, Microsoft, desktop, system, system32 ή syswow64. Εάν ο κατάλογος υπάρχει ήδη, το "NLS_{6 χαρακτήρες}" προστίθεται στο όνομα.

πόρος 0x102 αναλύεται και τα αρχεία απορρίπτονται %ProgramFiles% ή %AppData%, σε έναν τυχαία επιλεγμένο φάκελο. Άλλαξε ο χρόνος δημιουργίας για να έχει τις ίδιες τιμές με kernel32.dll.

Για παράδειγμα, εδώ είναι ο φάκελος και η λίστα των αρχείων που δημιουργούνται επιλέγοντας το εκτελέσιμο αρχείο C:Windowssystem32TCPSVCS.exe ως πηγή δεδομένων.

Εικόνα 6. Εξαγωγή διαφόρων συστατικών

Δομή πόρων 0x102 σε ένα σταγονόμετρο είναι αρκετά περίπλοκο. Με λίγα λόγια περιέχει:
— Ονόματα αρχείων
— Μέγεθος και περιεχόμενο αρχείου
— Μορφή συμπίεσης (COMPRESSION_FORMAT_LZNT1, που χρησιμοποιείται από τη συνάρτηση RtlDecompressBuffer)

Το πρώτο αρχείο επαναφέρεται ως TCPSVCS.exe, το οποίο είναι θεμιτό AcroTranscoder.exe (σύμφωνα με FileDescription, SHA-1: 2896738693A8F36CC7AD83EF1FA46F82F32BE5A3).

Ίσως έχετε παρατηρήσει ότι ορισμένα αρχεία DLL είναι μεγαλύτερα από 11 MB. Αυτό συμβαίνει επειδή ένα μεγάλο συνεχόμενο buffer τυχαίων δεδομένων τοποθετείται μέσα στο εκτελέσιμο αρχείο. Είναι πιθανό ότι αυτός είναι ένας τρόπος για να αποφευχθεί ο εντοπισμός από ορισμένα προϊόντα ασφαλείας.

Εξασφάλιση επιμονής

πόρος 0x101 στο dropper περιέχει δύο ακέραιους αριθμούς 32 bit που καθορίζουν τον τρόπο παροχής της επιμονής. Η τιμή του πρώτου καθορίζει πώς το κακόβουλο λογισμικό θα παραμείνει χωρίς δικαιώματα διαχειριστή.

Πίνακας 1. Μηχανισμός επιμονής χωρίς δικαιώματα διαχειριστή

Η τιμή του δεύτερου ακέραιου αριθμού καθορίζει τον τρόπο με τον οποίο το κακόβουλο λογισμικό πρέπει να επιτύχει επιμονή όταν εκτελείται με δικαιώματα διαχειριστή.

Πίνακας 2. Μηχανισμός επιμονής με δικαιώματα διαχειριστή

Το όνομα της υπηρεσίας είναι το όνομα του αρχείου χωρίς επέκταση. το εμφανιζόμενο όνομα είναι το όνομα του φακέλου, αλλά εάν υπάρχει ήδη, η συμβολοσειρά " προστίθεται σε αυτόνRevision 1” (ο αριθμός αυξάνεται μέχρι να βρεθεί ένα αχρησιμοποίητο όνομα). Οι χειριστές διασφάλισαν ότι η επιμονή μέσω της υπηρεσίας ήταν ισχυρή - σε περίπτωση αποτυχίας, η υπηρεσία θα πρέπει να επανεκκινηθεί μετά από 1 δευτερόλεπτο. Στη συνέχεια η τιμή WOW64 Το κλειδί μητρώου της νέας υπηρεσίας έχει οριστεί σε 4, υποδεικνύοντας ότι πρόκειται για υπηρεσία 32 bit.

Μια προγραμματισμένη εργασία δημιουργείται μέσω πολλών διεπαφών COM: ITaskScheduler, ITask, ITaskTrigger, IPersistFile и ITaskScheduler. Ουσιαστικά, το κακόβουλο λογισμικό δημιουργεί μια κρυφή εργασία, ορίζει τις πληροφορίες λογαριασμού μαζί με τις τρέχουσες πληροφορίες χρήστη ή διαχειριστή και, στη συνέχεια, ορίζει την ενεργοποίηση.

Αυτή είναι μια καθημερινή εργασία με διάρκεια 24 ωρών και μεσοδιαστήματα μεταξύ δύο εκτελέσεων των 10 λεπτών, που σημαίνει ότι θα εκτελείται συνεχώς.

Κακόβουλο κομμάτι

Στο παράδειγμά μας, το εκτελέσιμο αρχείο TCPSVCS.exe (AcroTranscoder.exe) είναι νόμιμο λογισμικό που φορτώνει DLL που επαναφέρονται μαζί με αυτό. Σε αυτή την περίπτωση έχει ενδιαφέρον Flash Video Extension.dll.

Η λειτουργία του DLLMain απλά καλεί μια άλλη συνάρτηση. Υπάρχουν μερικά ασαφή κατηγορήματα:

Σχήμα 7. Ασαφή κατηγορήματα

Μετά από αυτούς τους παραπλανητικούς ελέγχους, ο κωδικός αποκτά μια ενότητα .text αρχείο TCPSVCS.exe, αλλάζει την άμυνά του σε PAGE_EXECUTE_READWRITE και το ξαναγράφει προσθέτοντας εικονικές οδηγίες:

Εικόνα 8. Ακολουθία οδηγιών

Στο τέλος στη διεύθυνση συνάρτησης FLVCore::Uninitialize(void), εξάγονται Flash Video Extension.dll, προστίθεται η οδηγία CALL. Αυτό σημαίνει ότι μετά τη φόρτωση του κακόβουλου DLL, όταν καλεί ο χρόνος εκτέλεσης WinMain в TCPSVCS.exe, ο δείκτης εντολών θα δείχνει στο NOP, προκαλώντας FLVCore::Uninitialize(void), επόμενο στάδιο.

Η συνάρτηση δημιουργεί απλώς ένα mutex ξεκινώντας από {181C8480-A975-411C-AB0A-630DB8B0A221}ακολουθούμενο από το τρέχον όνομα χρήστη. Στη συνέχεια διαβάζει το αρχείο *.db3 που απορρίφθηκε, το οποίο περιέχει κώδικα ανεξάρτητο από τη θέση και χρησιμοποιεί CreateThread για την εκτέλεση του περιεχομένου.

Τα περιεχόμενα του αρχείου *.db3 είναι ο κώδικας φλοιού που χρησιμοποιεί συνήθως η ομάδα OceanLotus. Αποσυσκευάσαμε και πάλι με επιτυχία το ωφέλιμο φορτίο του χρησιμοποιώντας το σενάριο εξομοιωτή που δημοσιεύσαμε στο GitHub.

Το σενάριο εξάγει το τελικό στάδιο. Αυτό το στοιχείο είναι μια κερκόπορτα, την οποία έχουμε ήδη αναλύσει προηγούμενη μελέτη OceanLotus. Αυτό μπορεί να καθοριστεί από το GUID {A96B020F-0000-466F-A96D-A91BBF8EAC96} δυαδικό αρχείο. Η διαμόρφωση κακόβουλου λογισμικού εξακολουθεί να είναι κρυπτογραφημένη στον πόρο PE. Έχει περίπου την ίδια διαμόρφωση, αλλά οι διακομιστές C&C είναι διαφορετικοί από τους προηγούμενους:

- andreagahuvrauvin[.]com - byronorenstein[.]com - stienollmache[.]xyz

Η ομάδα της OceanLotus επιδεικνύει ξανά έναν συνδυασμό διαφορετικών τεχνικών για την αποφυγή ανίχνευσης. Επέστρεψαν με ένα «εξευγενισμένο» διάγραμμα της διαδικασίας μόλυνσης. Επιλέγοντας τυχαία ονόματα και γεμίζοντας τα εκτελέσιμα με τυχαία δεδομένα, μειώνουν τον αριθμό των αξιόπιστων IoC (με βάση τους κατακερματισμούς και τα ονόματα αρχείων). Επιπλέον, χάρη στη χρήση φόρτωσης DLL τρίτων, οι εισβολείς χρειάζεται μόνο να αφαιρέσουν το νόμιμο δυαδικό αρχείο AcroTranscoder.

Αρχεία αυτοεξαγωγής

Μετά τα αρχεία RTF, η ομάδα μετακινήθηκε σε αρχεία αυτόματης εξαγωγής (SFX) με κοινά εικονίδια εγγράφων για περαιτέρω σύγχυση του χρήστη. Το Threatbook έγραψε για αυτό (σύνδεσμος στα κινέζικα). Κατά την εκκίνηση, απορρίπτονται αρχεία RAR που εξάγονται μόνοι τους και εκτελούνται αρχεία DLL με επέκταση .ocx, το τελικό ωφέλιμο φορτίο των οποίων έχει τεκμηριωθεί προηγουμένως {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll. Από τα μέσα Ιανουαρίου 2019, η OceanLotus επαναχρησιμοποίησε αυτήν την τεχνική, αλλά άλλαξε ορισμένες διαμορφώσεις με την πάροδο του χρόνου. Σε αυτή την ενότητα θα μιλήσουμε για την τεχνική και τις αλλαγές.

Δημιουργώντας ένα Δέλεαρ

Το έγγραφο THICH-THONG-LAC-HANH-THAP-THIEN-VIET-NAM (1).EXE (SHA-1: AC10F5B1D5ECAB22B7B418D6E98FA18E32BBDEAB) βρέθηκε για πρώτη φορά το 2018. Αυτό το αρχείο SFX δημιουργήθηκε με σύνεση - στην περιγραφή (Πληροφορίες έκδοσης) λέει ότι αυτή είναι μια εικόνα JPEG. Το σενάριο SFX μοιάζει με αυτό:

Εικόνα 9. Εντολές SFX

Το κακόβουλο λογισμικό επαναφέρει {9ec60ada-a200-4159-b310-8071892ed0c3}.ocx (SHA-1: EFAC23B0E6395B1178BCF7086F72344B24C04DCC), καθώς και μια εικόνα 2018 thich thong lac.jpg.

Η εικόνα του δόλωμα μοιάζει με αυτό:

Εικόνα 10. Εικόνα δόλωμα

Ίσως έχετε παρατηρήσει ότι οι δύο πρώτες γραμμές στη δέσμη ενεργειών SFX καλούν το αρχείο OCX δύο φορές, αλλά αυτό δεν είναι σφάλμα.

{9ec60ada-a200-4159-b310-8071892ed0c3}.ocx (ShLd.dll)

Η ροή ελέγχου ενός αρχείου OCX είναι πολύ παρόμοια με άλλα στοιχεία του OceanLotus - πολλές ακολουθίες εντολών JZ/JNZ и PUSH/RET, εναλλάξ με κωδικό σκουπιδιών.

Σχήμα 11. Θολωμένος κώδικας

Αφού φιλτράρετε τον ανεπιθύμητο κώδικα, κάντε εξαγωγή DllRegisterServer, που ονομάζεται regsvr32.exe, ως εξής:

Εικόνα 12. Βασικός κωδικός εγκατάστασης

Βασικά, στην πρώτη κλήση DllRegisterServer τιμή μητρώου συνόλων εξαγωγής HKCUSOFTWAREClassesCLSID{E08A0F4B-1F65-4D4D-9A09-BD4625B9C5A1}Model για κρυπτογραφημένη μετατόπιση σε DLL (0x10001DE0).

Όταν η συνάρτηση καλείται δεύτερη φορά, διαβάζει την ίδια τιμή και εκτελείται σε αυτήν τη διεύθυνση. Από εδώ διαβάζεται και εκτελείται ο πόρος και πολλές ενέργειες στη μνήμη RAM.

Ο shellcode είναι ο ίδιος φορτωτής PE που χρησιμοποιήθηκε σε προηγούμενες καμπάνιες της OceanLotus. Μπορεί να προσομοιωθεί χρησιμοποιώντας το σενάριό μας. Στο τέλος κάνει μηδενισμό db293b825dcc419ba7dc2c49fa2757ee.dll, το φορτώνει στη μνήμη και το εκτελεί DllEntry.

Το DLL εξάγει τα περιεχόμενα του πόρου του, αποκρυπτογραφεί (AES-256-CBC) και αποσυμπιέζει (LZMA). Ο πόρος έχει μια συγκεκριμένη μορφή που είναι εύκολο να απομεταγλωττιστεί.

Εικόνα 13. Δομή διαμόρφωσης προγράμματος εγκατάστασης (KaitaiStruct Visualizer)

Η διαμόρφωση καθορίζεται ρητά - ανάλογα με το επίπεδο προνομίου, τα δυαδικά δεδομένα θα εγγραφούν σε %appdata%IntellogsBackgroundUploadTask.cpl ή %windir%System32BackgroundUploadTask.cpl (ή SysWOW64 για συστήματα 64-bit).

Περαιτέρω επιμονή εξασφαλίζεται με τη δημιουργία μιας εργασίας με το όνομα BackgroundUploadTask[junk].jobΌπου [junk] αντιπροσωπεύει ένα σύνολο byte 0x9D и 0xA0.

Όνομα εφαρμογής εργασίας %windir%System32control.exe, και η τιμή της παραμέτρου είναι η διαδρομή προς το ληφθέν δυαδικό αρχείο. Η κρυφή εργασία εκτελείται κάθε μέρα.

Δομικά, ένα αρχείο CPL είναι ένα DLL με εσωτερικό όνομα ac8e06de0a6c4483af9837d96504127e.dll, το οποίο εξάγει μια συνάρτηση CPlApplet. Αυτό το αρχείο αποκρυπτογραφεί τον μοναδικό πόρο του {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll, στη συνέχεια φορτώνει αυτό το DLL και καλεί τη μοναδική εξαγωγή του DllEntry.

Αρχείο διαμόρφωσης Backdoor

Η διαμόρφωση της κερκόπορτας είναι κρυπτογραφημένη και ενσωματωμένη στους πόρους της. Η δομή του αρχείου διαμόρφωσης είναι πολύ παρόμοια με την προηγούμενη.

Εικόνα 14. Δομή διαμόρφωσης Backdoor (KaitaiStruct Visualizer)

Αν και η δομή είναι παρόμοια, πολλές από τις τιμές πεδίων έχουν ενημερωθεί από αυτές που εμφανίζονται στο την παλιά μας αναφορά.

Το πρώτο στοιχείο του δυαδικού πίνακα περιέχει ένα DLL (HttpProv.dll MD5: 2559738D1BD4A999126F900C7357B759), ταυτοποιήθηκε από την Tencent. Αλλά δεδομένου ότι το όνομα εξαγωγής καταργήθηκε από το δυαδικό αρχείο, οι κατακερματισμοί δεν ταιριάζουν.

Πρόσθετη Έρευνα

Κατά τη συλλογή δειγμάτων, παρατηρήσαμε ορισμένα χαρακτηριστικά. Το δείγμα που μόλις περιγράφηκε εμφανίστηκε γύρω στον Ιούλιο του 2018 και άλλα παρόμοια εμφανίστηκαν μόλις από τα μέσα Ιανουαρίου έως τις αρχές Φεβρουαρίου 2019. Το αρχείο SFX χρησιμοποιήθηκε ως φορέας μόλυνσης, ρίχνοντας ένα νόμιμο έγγραφο δόλωμα και ένα κακόβουλο αρχείο OSX.

Παρόλο που το OceanLotus χρησιμοποιεί πλαστές χρονικές σημάνσεις, παρατηρήσαμε ότι οι χρονικές σημάνσεις των αρχείων SFX και OCX είναι πάντα οι ίδιες (0x57B0C36A (08/14/2016 @ 7:15 μ.μ. UTC) και 0x498BE80F (02/06/2009 @ 7:34 π.μ. UTC) αντίστοιχα). Αυτό πιθανώς υποδηλώνει ότι οι συγγραφείς έχουν κάποιο είδος «σχεδιαστή» που χρησιμοποιεί τα ίδια πρότυπα και απλώς αλλάζει ορισμένα χαρακτηριστικά.

Μεταξύ των εγγράφων που μελετήσαμε από τις αρχές του 2018, υπάρχουν διάφορα ονόματα που υποδεικνύουν τις χώρες που ενδιαφέρουν τους επιτιθέμενους:

— Τα νέα στοιχεία επικοινωνίας του Cambodia Media(New).xls.exe
— 李建香 (个人简历).exe (ψεύτικο έγγραφο pdf ενός βιογραφικού)
— σχόλια, Ράλι στις ΗΠΑ από 28-29 Ιουλίου 2018.exe

Από τότε που ανακαλύφθηκε η κερκόπορτα {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll και τη δημοσίευση της ανάλυσής του από αρκετούς ερευνητές, παρατηρήσαμε κάποιες αλλαγές στα δεδομένα διαμόρφωσης κακόβουλου λογισμικού.

Αρχικά, οι συγγραφείς άρχισαν να αφαιρούν ονόματα από βοηθητικά DLL (DNSprov.dll και δύο εκδόσεις HttpProv.dll). Στη συνέχεια, οι χειριστές σταμάτησαν τη συσκευασία του τρίτου DLL (η δεύτερη έκδοση HttpProv.dll), επιλέγοντας να ενσωματώσετε μόνο ένα.

Δεύτερον, πολλά πεδία διαμόρφωσης backdoor άλλαξαν, πιθανόν να αποφύγουν τον εντοπισμό καθώς έγιναν διαθέσιμα πολλά IoC. Τα σημαντικά πεδία που τροποποιήθηκαν από τους συγγραφείς περιλαμβάνουν:

Το κλειδί μητρώου AppX άλλαξε (δείτε IoC)
συμβολοσειρά κωδικοποίησης mutex ("def", "abc", "ghi")
αριθμός θύρας

Τέλος, όλες οι νέες εκδόσεις που αναλύθηκαν έχουν νέα C&C που αναφέρονται στην ενότητα IoCs.

Ευρήματα

Το OceanLotus συνεχίζει να αναπτύσσεται. Η ομάδα του κυβερνοχώρου επικεντρώνεται στη βελτίωση και την επέκταση των εργαλείων και των δολωμάτων. Οι συγγραφείς συγκαλύπτουν κακόβουλα ωφέλιμα φορτία χρησιμοποιώντας έγγραφα που τραβούν την προσοχή των οποίων το θέμα είναι σχετικό με τα επιδιωκόμενα θύματα. Αναπτύσσουν νέα σχήματα και χρησιμοποιούν επίσης εργαλεία διαθέσιμα στο κοινό, όπως το exploit του Equation Editor. Επιπλέον, βελτιώνουν τα εργαλεία για τη μείωση του αριθμού των τεχνουργημάτων που απομένουν στα μηχανήματα των θυμάτων, μειώνοντας έτσι την πιθανότητα εντοπισμού από λογισμικό προστασίας από ιούς.