Na post a, anyị ga-agwa gị ka ndị otu cyber OceanLotus (APT32 na APT-C-00) jiri otu n'ime ihe ndị dị n'ihu ọha na-erigbu n'oge na-adịbeghị anya. , adịghị ike nrụrụ ebe nchekwa na Microsoft Office, yana otu malware nke otu ahụ si enweta nnọgidesi ike na sistemu mebiri emebi na-ahapụghị akara. Na-esote, anyị ga-akọwa otu, kemgbe mmalite nke 2019, otu ahụ na-eji ebe nchekwa na-ewepụta onwe ha iji mee koodu.
OceanLotus bụ ọkachamara na nledo cyber, ebe ebumnuche kacha mkpa bụ mba ndị dị na Ndịda Ọwụwa Anyanwụ Eshia. Ndị na-awakpo ahụ na-emepụta akwụkwọ na-adọta uche nke ndị nwere ike ime ka ha kwenye ka ha gbuo azụ azụ, ma na-arụkwa ọrụ na-emepụta ngwá ọrụ. Ụzọ ndị a na-eji emepụta ebe nchekwa mmanụ aṅụ dịgasị iche n'ofe ọgụ, site na faịlụ "okpukpu abụọ", ebe nchekwa na-ewepụta onwe ya, akwụkwọ nwere macros, ruo n'erigbu amaara.
Iji nrigbu na Microsoft Equation Editor
N'etiti 2018, OceanLotus mere mkpọsa na-erigbu adịghị ike CVE-2017-11882. Ndị ọkachamara sitere na 360 Threat Intelligence Center nyochara otu n'ime akwụkwọ ọjọọ nke otu cyber.), gụnyere nkọwa zuru ezu nke nrigbu. Ngosipụta dị n'okpuru nwere nkọwapụta nke akwụkwọ ọjọọ dị otú ahụ.
The akpa ogbo
Ihe odide ahụ FW Report on demonstration of former CNRP in Republic of Korea.doc (SHA-1: D1357B284C951470066AAA7A8228190B88A5C7C3) yiri nke ahụ a kpọtụrụ aha n’ọmụmụ ihe n’elu. Ọ na-adọrọ mmasị n'ihi na ọ bụ ndị ọrụ nwere mmasị na ndọrọ ndọrọ ọchịchị Cambodia (CNRP - Cambodia National Rescue Party, etisasịwo na njedebe nke 2017). N'agbanyeghị ndọtị .doc, akwụkwọ ahụ dị n'ụdị RTF (lee foto dị n'okpuru), nwere koodu mkpofu, yana agbagọkwa.
Ọgụgụ 1. "Ihe mkpofu" na RTF
N'agbanyeghị na e nwere ihe ndị a kpụrụ akpụ, Okwu na-emepe faịlụ RTF a nke ọma. Dị ka ị na-ahụ na Figure 2, e nwere usoro EQNOLEFILEHDR na nkwụsị 0xC00, na-esote MTEF nkụnye eji isi mee, na ntinye MTEF (Njirimara 3) maka font ahụ.
Ọgụgụ 2. FONT ntinye ụkpụrụ
Nyocha 3.
Enwere ike ijubiga oke ókè n'ọhịa aha, n'ihi na anaghị enyocha nha ya tupu iṅomi. Aha toro ogologo na-ebute adịghị ike. Dị ka ị na-ahụ site na ọdịnaya nke faịlụ RTF (offset 0xC26 na Figure 2), ihe nchekwa ahụ jupụtara na shellcode na-esote iwu dummy (0x90) na weghachi adreesị 0x402114. Adreesị ahụ bụ akụkụ mkparịta ụka EQNEDT32.exe, na-egosi ntuziaka RET. Nke a na-eme ka EIP rụtụ aka na mmalite nke ubi ahụ ahanwere koodu shell.
Onyonyo 4. Mmalite nke mkpofu shellcode
Adreesị 0x45BD3C na-echekwa ihe agbanwe agbanwe nke edegharịrị ruo mgbe ọ ruru nrụtụ aka n'ihe arụrụ arụ ugbu a MTEFData. Ndị ọzọ nke shellcode dị ebe a.
Ebumnuche nke shellcode bụ ime ihe nke abụọ nke shellcode agbakwunyere na akwụkwọ mepere emepe. The mbụ shellcode mbụ na-agbalị ịchọta onye na-akọwa faịlụ nke akwụkwọ mepere emepe site n'ịkọba ndị na-akọwa usoro niile (NtQuerySystemInformation ya na arụmụka SystemExtendedHandleInformation) na ịlele ma ha dabara PID nkọwa na PID usoro WinWord na ma e jiri ihe mkpuchi ohere meghere akwụkwọ ahụ - 0x12019F.
Iji gosi na achọtala aka ziri ezi (ọ bụghịkwa aka na akwụkwọ ọzọ mepere emepe), a na-egosipụta ọdịnaya nke faịlụ ahụ site na iji ọrụ ahụ. CreateFileMapping, na shellcode na-enyocha ma bytes anọ ikpeazụ nke akwụkwọ ahụ dakọtara"yyyy"(Ụzọ ịchụ nta akwa). Ozugbo achọtara egwuregwu, a na-e copyomi akwụkwọ ahụ na nchekwa nwa oge (GetTempPath) Kedu ole.dll. Mgbe ahụ, a na-agụ bytes iri na abụọ ikpeazụ nke akwụkwọ ahụ.
Ọgụgụ 5. Ọgwụgwụ nke nrịbama akwụkwọ
32-bit uru n'etiti nrịbama AABBCCDD и yyyy bụ nkwụsị nke shellcode na-esote. A na-akpọ ya iji ọrụ ahụ CreateThread. Ewepụtara otu shellcode nke otu OceanLotus jiri na mbụ. , nke anyị wepụtara na March 2018, ka na-arụ ọrụ maka nkwụsị nke abụọ.
Nke abụọ
Na-ewepu akụrụngwa
A na-ahọrọ aha faịlụ na ndekọ n'ike. Koodu na-ahọrọ aha nke executable ma ọ bụ DLL faịlụ na-enweghị usoro C:Windowssystem32. Ọ na-arịọ arịrịọ maka akụrụngwa ya wee weghachite ubi ahụ FileDescription iji dị ka aha nchekwa. Ọ bụrụ na nke a anaghị arụ ọrụ, koodu ahụ na-ahọrọ aha nchekwa na-akpaghị aka site na akwụkwọ ndekọ aha %ProgramFiles% ma ọ bụ C:Windows (site na GetWindowsDirectoryW). Ọ na-ezere iji aha nwere ike imegide faịlụ ndị dị ugbu a wee hụ na o nweghị okwu ndị a: windows, Microsoft, desktop, system, system32 ma ọ bụ syswow64. Ọ bụrụ na ndekọ aha adịlarị, "NLS_{6 characters}" ka etinyere n'aha ahụ.
resource 0x102 a na-enyocha ma tụba faịlụ n'ime %ProgramFiles% ma ọ bụ %AppData%, gaa na folda ahọpụtara enweghị usoro. Gbanwee oge okike ka inwe otu ụkpụrụ dị ka kernel32.dll.
Dịka ọmụmaatụ, ebe a bụ folda na ndepụta faịlụ emepụtara site na ịhọrọ ndị executable C:Windowssystem32TCPSVCS.exe dị ka isi iyi data.
Ọgụgụ 6. Na-ewepụta ihe dị iche iche
Nhazi akụrụngwa 0x102 na dropper bụ nnọọ mgbagwoju. Na nkenke, o nwere:
- Aha faịlụ
- Nha faịlụ na ọdịnaya
- usoro mkpakọ (COMPRESSION_FORMAT_LZNT1, eji arụ ọrụ RtlDecompressBuffer)
Emegharịrị faịlụ mbụ dị ka TCPSVCS.exe, nke ziri ezi AcroTranscoder.exe (dabere na FileDescription, SHA-1: 2896738693A8F36CC7AD83EF1FA46F82F32BE5A3).
O nwere ike ịbụ na ị chọpụtala na ụfọdụ faịlụ DLL karịrị 11 MB. Nke a bụ n'ihi na a na-etinye nnukwu nchekwa data na-enweghị usoro n'ime faịlụ nke enwere ike ime ya. O kwere omume na nke a bụ ụzọ isi zere nchọpụta ụfọdụ ngwaahịa nchekwa.
Na-eme ka nkwụsi ike
resource 0x101 n'ime dropper nwere ọnụọgụ 32-bit abụọ nke na-akọwapụta otu esi etinye nkwụsi ike. Uru nke mbụ na-akọwapụta ka malware ga-esi dịgide na-enweghị ikike nchịkwa.
Tebụl 1. Usoro nkwụsi ike na-enweghị ikike nchịkwa
Uru nke integer nke abụọ na-akọwapụta ka malware kwesịrị isi nweta ntachi obi mgbe ọ na-eji ikike nchịkwa na-agba ọsọ.
Tebụl 2. Usoro nkwụsi ike na ikike nchịkwa
Aha ọrụ bụ aha faịlụ na-enweghị ndọtị; aha ngosi bụ aha nchekwa ahụ, mana ọ bụrụ na ọ dịlarị, a na-agbakwunye eriri “ na yaRevision 1” (ọnụọgụ ahụ na-abawanye ruo mgbe achọtara aha na-ejighị ya). Ndị na-arụ ọrụ ahụ hụrụ na nnọgidesi ike site na ọrụ ahụ siri ike - ọ bụrụ na ọdịda, ekwesịrị ịmalitegharị ọrụ ahụ mgbe 1 sekọnd gachara. Mgbe ahụ uru WOW64 Edobere igodo ndekọ ndekọ ọrụ ọhụrụ ka ọ bụrụ 4, na-egosi na ọ bụ ọrụ 32-bit.
A na-emepụta ọrụ ahaziri site na ọtụtụ oghere COM: ITaskScheduler, ITask, ITaskTrigger, IPersistFile и ITaskScheduler. N'ụzọ bụ isi, malware na-emepụta ọrụ zoro ezo, na-edozi ozi akaụntụ yana ozi onye ọrụ ma ọ bụ onye nchịkwa ugbu a, wee tọọ ihe mkpali.
Nke a bụ ọrụ a na-arụ kwa ụbọchị nke na-ewe awa 24 na etiti oge n'etiti ogbugbu abụọ nke nkeji iri, nke pụtara na ọ ga-aga n'ihu.
bit obi ọjọọ
Na ihe atụ anyị, faịlụ executable TCPSVCS.exe (AcroTranscoder.exe) bụ sọftụwia ziri ezi nke na-ebu DLL nke etinyere ya na ya. N'okwu a, ọ bụ mmasị Flash Video Extension.dll.
Ọrụ ya DLLMain naanị na-akpọ ọrụ ọzọ. Ụfọdụ amụma na-enweghị isi dị:
Onyonyo 7. Amụma fuzzy
Mgbe nyocha ndị a na-eduhie eduhie, koodu na-enweta ngalaba .text faịlụ TCPSVCS.exe, na-agbanwe agbachitere ya PAGE_EXECUTE_READWRITE ma degharịa ya site n'ịgbakwunye ntụzịaka dummy:
Ọgụgụ 8. Usoro ntuziaka
Na njedebe na adreesị ọrụ FLVCore::Uninitialize(void), ebupụ Flash Video Extension.dll, ntụziaka na-agbakwunyere CALL. Nke a pụtara na mgbe ebuchara DLL ọjọọ ahụ, mgbe oge ọ na-aga na-akpọ WinMain в TCPSVCS.exe, Ntuziaka ntụziaka ga-arụtụ aka na NOP, na-akpata FLVCore::Uninitialize(void), ogbo ọzọ.
Ọrụ a na-emepụta naanị mutex malite na {181C8480-A975-411C-AB0A-630DB8B0A221}aha njirimara ugbu a sochiri. Ọ na-agụ wụfuru * .db3 faịlụ, nke nwere koodu na-adabere na ọnọdụ, na-eji CreateThread iji mebie ọdịnaya.
Ọdịnaya dị na * .db3 faịlụ bụ shellcode nke otu OceanLotus na-ejikarị. Anyị na-eji edemede emulator anyị bipụtara nke ọma wepụtaghachi ibu ya nke ọma .
Edemede ahụ na-ewepụta ọkwa ikpeazụ. Akụkụ a bụ ọnụ ụzọ azụ, nke anyị nyochacharala na ya . Enwere ike ikpebi nke a site na GUID {A96B020F-0000-466F-A96D-A91BBF8EAC96} ọnụọgụ abụọ faịlụ. Nhazi malware ka ezoro ezo na akụrụngwa PE. Ọ nwere ihe nhazi otu, mana sava C&C dị iche na ndị gara aga:
- andreagahuvrauvin[.]com
- byronorenstein[.]com
- stienollmache[.]xyz
Otu OceanLotus na-egosipụtakwa nchikota usoro dị iche iche iji zere nchọpụta. Ha ji eserese “emechara nke ọma” nke usoro ọrịa ahụ lọghachiri. Site n'ịhọrọ aha na-enweghị usoro na njuputa data enweghị usoro, ha na-ebelata ọnụ ọgụgụ nke IoC ndị a pụrụ ịdabere na ya (dabere na hashes na aha faịlụ). Ọzọkwa, n'ihi iji nbudata DLL nke atọ, ndị na-awakpo kwesịrị iwepụ ọnụọgụ abụọ ziri ezi. AcroTranscoder.
Ebe nchekwa na-ewepụta onwe ya
Mgbe faịlụ RTF gasịrị, ndị otu ahụ kwagara na ebe a na-ewepụta onwe ya (SFX) nwere akara ngosi akwụkwọ nkịtị iji megharịa onye ọrụ ahụ anya. Threatbook dere maka nke a (). Mgbe ebidochara, a ga-atụtu faịlụ RAR na-ewepụta onwe ya wee gbuo DLL nwere ndọtị .ocx, nke akwụgoro ụgwọ ikpeazụ ya na mbụ. {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll. Kemgbe etiti Jenụwarị 2019, OceanLotus na-ejigharị usoro a, mana na-agbanwe ụfọdụ nhazi ka oge na-aga. Na ngalaba a anyị ga-ekwu maka usoro na mgbanwe.
Ịmepụta ọnyà
Ihe odide ahụ THICH-THONG-LAC-HANH-THAP-THIEN-VIET-NAM (1).EXE (SHA-1: AC10F5B1D5ECAB22B7B418D6E98FA18E32BBDEAB) ahụrụ na mbụ na 2018. Emepụtara faịlụ SFX a nke ọma - na nkọwa (Ama Ama) ọ na-ekwu na nke a bụ ihe oyiyi JPEG. Edemede SFX dị ka nke a:
Ọgụgụ 9. Iwu SFX
The malware tọgharịa {9ec60ada-a200-4159-b310-8071892ed0c3}.ocx (SHA-1: EFAC23B0E6395B1178BCF7086F72344B24C04DCC), yana foto 2018 thich thong lac.jpg.
Foto decoy dị ka nke a:
Onyonyo 10. Ihe oyiyi ihe ndozi
Ị nwere ike chọpụtala na ahịrị abụọ mbụ dị na edemede SFX na-akpọ faịlụ OCX ugboro abụọ, mana nke a abụghị njehie.
{9ec60ada-a200-4159-b310-8071892ed0c3}.ocx (ShLd.dll)
Usoro njikwa nke faịlụ OCX yiri nnọọ ihe ndị ọzọ OceanLotus - ọtụtụ usoro iwu JZ/JNZ и PUSH/RET, na-atụgharị na koodu mkpofu.
Ọgụgụ 11. Koodu a na-ekpochapụ
Mgbe nzacha koodu junk, mbupụ DllRegisterServer, akpọ regsvr32.exe, dị ka ndị a:
Ọgụgụ 12. Basic installer code
N'ụzọ bụ isi, na oku nke mbụ DllRegisterServer mbupụ na-esetịpụ uru ndekọ aha HKCUSOFTWAREClassesCLSID{E08A0F4B-1F65-4D4D-9A09-BD4625B9C5A1}Model maka nkwụghachi ezoro ezo na DLL (0x10001DE0).
Mgbe a na-akpọ ọrụ ahụ ugboro abụọ, ọ na-agụ otu uru ahụ wee rụọ ọrụ na adreesị ahụ. Site ebe a, a na-agụ ma gbuo akụrụngwa na ọtụtụ omume na RAM.
The shellcode bụ otu PE loader ejiri mee ihe na mkpọsa OceanLotus gara aga. Enwere ike iji ya ṅomie ya . N'ikpeazụ ọ na-emegharị db293b825dcc419ba7dc2c49fa2757ee.dll, na-ebunye ya n'ime ebe nchekwa wee mee DllEntry.
DLL na-ewepụta ọdịnaya nke akụrụngwa ya, decrypts (AES-256-CBC) na decompress (LZMA) ya. Akụrụngwa nwere usoro a kapịrị ọnụ nke dị mfe ikpokọta.
Ọgụgụ 13. Nhazi nhazi nhazi (KaitaiStruct Visualizer)
A kọwapụtara nhazi ahụ nke ọma - dabere na ọkwa ikike, a ga-edere data ọnụọgụ abụọ %appdata%IntellogsBackgroundUploadTask.cpl ma ọ bụ %windir%System32BackgroundUploadTask.cpl (ma ọ bụ SysWOW64 maka sistemụ 64-bit).
A na-ahụta nkwụsi ike ọzọ site na ịmepụta ọrụ nwere aha BackgroundUploadTask[junk].jobebe [junk] na-anọchite anya otu bytes 0x9D и 0xA0.
Aha ngwa ọrụ %windir%System32control.exe, na oke uru bụ ụzọ gaa na faịlụ ọnụọgụ abụọ ebudatara. Ọrụ ahụ zoro ezo na-agba kwa ụbọchị.
N'usoro, faịlụ CPL bụ DLL nwere aha dị n'ime ac8e06de0a6c4483af9837d96504127e.dll, nke na-ebupụ ọrụ CPlApplet. Faịlụ a na-ewepụ naanị akụrụngwa ya {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll, wee buru DLL a wee kpọọ naanị mbupụ ya DllEntry.
faịlụ nhazi azụ azụ
A na-ezobe nhazi azụ azụ ma tinye ya na akụrụngwa ya. Ọdịdị nke faịlụ nhazi dị nnọọ ka nke gara aga.
Ọgụgụ 14. Nhazi nhazi azụ azụ (KaitaiStruct Visualizer)
Ọ bụ ezie na nhazi ahụ yiri nke ahụ, emelitere ọtụtụ ụkpụrụ ubi site na ndị egosiri na .
Ihe mbụ nke ọnụọgụ ọnụọgụ abụọ nwere DLL (HttpProv.dll MD5: 2559738D1BD4A999126F900C7357B759), . Mana ebe ọ bụ na ewepụrụ aha mbupụ na ọnụọgụ abụọ, hashes adabaghị.
Nnyocha ndị ọzọ
Ka anyị na-anakọta ihe atụ, anyị hụrụ ụfọdụ njirimara. Ihe atụ akọwapụtara nke ọma pụtara na Julaị 2018, yana ndị ọzọ dị ka ya pụtara n'oge na-adịbeghị anya n'etiti Jenụwarị ruo mbido February 2019. A na-eji ebe nchekwa SFX dị ka ihe na-ebute ọrịa, na-atụba akwụkwọ aghụghọ ziri ezi yana faịlụ OSX ọjọọ.
Agbanyeghị na OceanLotus na-eji stampụ oge adịgboroja, anyị chọpụtara na stampụ oge nke faịlụ SFX na OCX na-abụ otu mgbe niile (0x57B0C36A (08/14/2016 @ 7:15 ehihie UTC) na 0x498BE80F (02/06/2009 @ 7:34am UTC) n'otu n'otu). Nke a nwere ike igosi na ndị na-ede akwụkwọ nwere ụdị "onye nrụpụta" nke na-eji otu ndebiri ma gbanwee àgwà ụfọdụ.
N'ime akwụkwọ ndị anyị mụrụ kemgbe mmalite nke 2018, e nwere aha dị iche iche na-egosi mba ndị nwere mmasị na ndị na-awakpo:
- Ozi kọntaktị ọhụrụ nke Cambodia Media(Ọhụrụ).xls.exe
- 李建香 (个人简历).exe (akwụkwọ pdf adịgboroja nke CV)
- nzaghachi, Rally na USA site na Julaị 28-29, 2018.exe
Ebe ọ bụ na achọpụtara azụ azụ {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll na mbipụta nke nyocha ya site n'aka ọtụtụ ndị nchọpụta, anyị hụrụ mgbanwe ụfọdụ na data nhazi malware.
Nke mbụ, ndị odee malitere iwepụ aha n'aka DLL ndị enyemaka (DNSprov.dll na nsụgharị abụọ HttpProv.dll). Ndị ọrụ ahụ kwụsịrị ịkwakọ ngwaahịa DLL nke atọ (ụdị nke abụọ HttpProv.dll), ịhọrọ itinye naanị otu.
Nke abụọ, ọtụtụ mpaghara nhazi azụ azụ ka agbanwere, enwere ike ịgbanarị nchọpụta ka ọtụtụ IoC dị. Mpaghara ndị dị mkpa ndị odee meziri gụnyere:
- Agbanwere igodo ndekọ AppX (lee IoCs)
- eriri ngbanwe mutex ("def", "abc", "ghi")
- nọmba ọdụ ụgbọ mmiri
N'ikpeazụ, ụdị ọhụrụ niile enyochala nwere C&C ọhụrụ edepụtara na ngalaba IoC.
Nchoputa
OceanLotus na-aga n'ihu na-etolite. Ndị otu cyber na-elekwasị anya n'ịnụcha na ịgbasa ngwaọrụ na baits. Ndị na-ede akwụkwọ na-eji akwụkwọ na-adọrọ adọrọ nke isiokwu ha metụtara ndị e bu n'obi mee ihe na-egbanwe ibu dị njọ. Ha na-emepụta atụmatụ ọhụrụ ma na-ejikwa ngwa ndị dị n'ihu ọha, dị ka Equation Editor irigbu. Ọzọkwa, ha na-emeziwanye ngwá ọrụ iji belata ọnụ ọgụgụ arịa ndị fọdụrụ n'igwe ndị ihe metụtara, si otú a na-ebelata ohere nke ịchọta site na software antivirus.
Ndị na -egosi nkwenye
Ndị na-egosi nkwenye yana njirimara MITER ATT&CK dị и .
isi: www.habr.com