🥇ESET: OceanLotus-ის ახალი Backdoor მიწოდების სქემები

ამ პოსტში ჩვენ გეტყვით, თუ როგორ გამოიყენა ცოტა ხნის წინ კიბერჯგუფმა OceanLotus (APT32 და APT-C-00) ერთ-ერთი საჯაროდ ხელმისაწვდომი ექსპლოიტი. CVE-2017-11882, მეხსიერების დაზიანებული ხარვეზები Microsoft Office-ში და როგორ აღწევს ჯგუფის მავნე პროგრამული უზრუნველყოფა მდგრადობას კომპრომეტირებულ სისტემებზე კვალის დატოვების გარეშე. შემდეგი, ჩვენ აღვწერთ, თუ როგორ იყენებს ჯგუფი 2019 წლის დასაწყისიდან არქივებს თვითმმართველობის ამოღების მიზნით კოდის გასაშვებად.

OceanLotus სპეციალიზირებულია კიბერ ჯაშუშობაში, პრიორიტეტული სამიზნეები სამხრეთ-აღმოსავლეთ აზიის ქვეყნებია. თავდამსხმელები აყალბებენ დოკუმენტებს, რომლებიც იპყრობენ პოტენციურ მსხვერპლთა ყურადღებას, რათა დაარწმუნონ ისინი უკანა კარი შეასრულონ და ასევე მუშაობენ ინსტრუმენტების შემუშავებაზე. Honeypots-ის შესაქმნელად გამოყენებული მეთოდები განსხვავდება თავდასხმების მიხედვით, დაწყებული „ორმაგი გაფართოებით“ ფაილებიდან, არქივების თვითმმართველობის ამოღებით, დოკუმენტებით მაკროებით და ცნობილ ექსპლოიატებამდე.

ექსპლოიტის გამოყენება Microsoft Equation Editor-ში

2018 წლის შუა რიცხვებში OceanLotus-მა ჩაატარა კამპანია CVE-2017-11882 დაუცველობის გამოყენების მიზნით. კიბერჯგუფის ერთ-ერთი მავნე დოკუმენტი გააანალიზეს 360 Threat Intelligence Center-ის სპეციალისტებმა (კვლევა ჩინურ ენაზე), ექსპლოიტის დეტალური აღწერილობის ჩათვლით. ქვემოთ მოცემული პოსტი შეიცავს ასეთი მავნე დოკუმენტის მიმოხილვას.

პირველ ეტაპზე

დოკუმენტი FW Report on demonstration of former CNRP in Republic of Korea.doc (SHA-1: D1357B284C951470066AAA7A8228190B88A5C7C3) მსგავსია ზემოთ მოცემულ კვლევაში. საინტერესოა, რადგან ის გამიზნულია კამბოჯის პოლიტიკით დაინტერესებული მომხმარებლებისთვის (CNRP - კამბოჯის ეროვნული სამაშველო პარტია, დაიშალა 2017 წლის ბოლოს). მიუხედავად .doc გაფართოებისა, დოკუმენტი არის RTF ფორმატში (იხილეთ სურათი ქვემოთ), შეიცავს ნაგვის კოდს და ასევე დამახინჯებულია.

სურათი 1. "ნაგავი" RTF-ში

მიუხედავად იმისა, რომ არის დამაბნეველი ელემენტები, Word წარმატებით ხსნის ამ RTF ფაილს. როგორც ხედავთ სურათზე 2, არის EQNOLEFILEHDR სტრუქტურა ოფსეტური 0xC00, რასაც მოჰყვება MTEF სათაური და შემდეგ MTEF ჩანაწერი (სურათი 3) შრიფტისთვის.

სურათი 2. FONT შესვლის მნიშვნელობები

ფიგურა 3. FONT ჩაწერის ფორმატი

მინდორში შესაძლო გადინება სახელი, რადგან კოპირებამდე მისი ზომა არ შემოწმდება. სახელი, რომელიც ძალიან გრძელია, იწვევს დაუცველობას. როგორც ხედავთ RTF ფაილის შიგთავსიდან (ოფსეტური 0xC26 სურათზე 2), ბუფერი ივსება shellcode-ით, რასაც მოჰყვება მოჩვენებითი ბრძანება (0x90) და დაბრუნების მისამართი 0x402114. მისამართი არის დიალოგის ელემენტი EQNEDT32.exeინსტრუქციების მითითებით RET. ეს იწვევს EIP მიუთითებს ველის დასაწყისზე სახელიშეიცავს shell-კოდს.

სურათი 4. ექსპლოიტის shellcode-ის დასაწყისი

მისამართი 0x45BD3C ინახავს ცვლადს, რომელიც გაუქმებულია მანამ, სანამ ის არ მიაღწევს მაჩვენებელს მიმდინარე დატვირთულ სტრუქტურაზე MTEFData. დანარჩენი shellcode აქ არის.

shellcode-ის დანიშნულება არის შელკოდის მეორე ნაწილის შესრულება, რომელიც ჩაშენებულია ღია დოკუმენტში. თავდაპირველი shellcode პირველი ცდილობს იპოვოს ღია დოკუმენტის ფაილის აღმწერი სისტემის ყველა დესკრიპტორზე გამეორებით (NtQuerySystemInformation არგუმენტით SystemExtendedHandleInformation) და შეამოწმეთ ისინი ემთხვევა თუ არა PID აღმწერი და PID პროცესი WinWord და გაიხსნა თუ არა დოკუმენტი წვდომის ნიღბით - 0x12019F.

იმის დასადასტურებლად, რომ ნაპოვნია სწორი სახელური (და არა სხვა ღია დოკუმენტის სახელური), ფაილის შინაარსი ნაჩვენებია ფუნქციის გამოყენებით CreateFileMapping, და shellcode ამოწმებს შეესაბამება თუ არა დოკუმენტის ბოლო ოთხი ბაიტი "yyyy(კვერცხზე ნადირობის მეთოდი). მატჩის პოვნის შემდეგ, დოკუმენტი კოპირდება დროებით საქაღალდეში (GetTempPath) Როგორ ole.dll. შემდეგ იკითხება დოკუმენტის ბოლო 12 ბაიტი.

სურათი 5. დოკუმენტის მარკერების ბოლო

32-ბიტიანი მნიშვნელობა მარკერებს შორის AABBCCDD и yyyy არის შემდეგი shellcode-ის ოფსეტური. მას უწოდებენ ფუნქციის გამოყენებით CreateThread. ამოღებულია იგივე shellcode, რომელსაც ადრე იყენებდა OceanLotus ჯგუფი. პითონის ემულაციის სკრიპტი, რომელიც გამოვაქვეყნეთ 2018 წლის მარტში, კვლავ მუშაობს მეორე ეტაპის ნაგავსაყრელზე.

მეორე ეტაპი

კომპონენტების ამოღება

ფაილის და დირექტორიას სახელები არჩეულია დინამიურად. კოდი შემთხვევით ირჩევს შესრულებადი ან DLL ფაილის სახელს C:Windowssystem32. შემდეგ ის მიმართავს თავის რესურსებს და იბრუნებს ველს FileDescription საქაღალდის სახელად გამოსაყენებლად. თუ ეს არ მუშაობს, კოდი შემთხვევით ირჩევს საქაღალდის სახელს დირექტორიებიდან %ProgramFiles% ან C:Windows (из GetWindowsDirectoryW). Он избегает использования имени, которое может конфликтовать с существующими файлами, и следит за тем, чтобы оно не содержало следующие слова: windows, Microsoft, desktop, system, system32 ან syswow64. თუ დირექტორია უკვე არსებობს, სახელს დაემატება „NLS_{6 სიმბოლო}“.

რესურსი 0x102 გაანალიზებულია და ფაილები იყრება მასში %ProgramFiles% ან %AppData%, შემთხვევით შერჩეულ საქაღალდეში. შეიცვალა შექმნის დრო, რომ ჰქონდეს იგივე მნიშვნელობები, რაც kernel32.dll.

მაგალითად, აქ არის საქაღალდე და ფაილების სია, რომლებიც შექმნილია შესრულებადი ფაილის არჩევით C:Windowssystem32TCPSVCS.exe როგორც მონაცემთა წყარო.

სურათი 6. სხვადასხვა კომპონენტების ამოღება

რესურსების სტრუქტურა 0x102 საწვეთურში საკმაოდ რთულია. მოკლედ ის შეიცავს:
- ფაილების სახელები
- ფაილის ზომა და შინაარსი
- შეკუმშვის ფორმატი (COMPRESSION_FORMAT_LZNT1, გამოიყენება ფუნქციით RtlDecompressBuffer)

პირველი ფაილი გადატვირთულია როგორც TCPSVCS.exe, რაც კანონიერია AcroTranscoder.exe (შესაბამისად) FileDescription, SHA-1: 2896738693A8F36CC7AD83EF1FA46F82F32BE5A3).

თქვენ შეიძლება შეამჩნიეთ, რომ ზოგიერთი DLL ფაილი 11 მბ-ზე მეტია. ეს იმიტომ ხდება, რომ შემსრულებელ ფაილში მოთავსებულია შემთხვევითი მონაცემების დიდი მიმდებარე ბუფერი. შესაძლებელია, რომ ეს არის უსაფრთხოების ზოგიერთი პროდუქტის მიერ გამოვლენის თავიდან აცილების საშუალება.

გამძლეობის უზრუნველყოფა

რესურსი 0x101 საწვეთურში შეიცავს ორ 32-ბიტიან მთელ რიცხვს, რომლებიც აკონკრეტებენ, თუ როგორ უნდა იყოს უზრუნველყოფილი მდგრადობა. პირველის მნიშვნელობა განსაზღვრავს, თუ როგორ გაგრძელდება მავნე პროგრამა ადმინისტრატორის უფლებების გარეშე.

ცხრილი 1. მდგრადობის მექანიზმი ადმინისტრატორის უფლებების გარეშე

მეორე მთელი რიცხვის მნიშვნელობა განსაზღვრავს, თუ როგორ უნდა მიაღწიოს მავნე პროგრამამ მდგრადობას ადმინისტრატორის უფლებებით გაშვებისას.

ცხრილი 2. მდგრადობის მექანიზმი ადმინისტრატორის უფლებებით

სერვისის სახელი არის ფაილის სახელი გაფართოების გარეშე; საჩვენებელი სახელი არის საქაღალდის სახელი, მაგრამ თუ ის უკვე არსებობს, მას ემატება სტრიქონი "Revision 1” (რიცხვა იზრდება მანამ, სანამ გამოუყენებელი სახელი არ მოიძებნება). ოპერატორები დარწმუნდნენ, რომ სერვისის მეშვეობით გამძლეობა იყო ძლიერი - წარუმატებლობის შემთხვევაში, სერვისი უნდა განახლდეს 1 წამის შემდეგ. შემდეგ ღირებულება WOW64 ახალი სერვისის რეესტრის გასაღები დაყენებულია 4-ზე, რაც მიუთითებს, რომ ეს არის 32-ბიტიანი სერვისი.

დაგეგმილი დავალება იქმნება რამდენიმე COM ინტერფეისის საშუალებით: ITaskScheduler, ITask, ITaskTrigger, IPersistFile и ITaskScheduler. არსებითად, მავნე პროგრამა ქმნის ფარულ დავალებას, ადგენს ანგარიშის ინფორმაციას მიმდინარე მომხმარებლის ან ადმინისტრატორის ინფორმაციასთან ერთად და შემდეგ აყენებს ტრიგერს.

ეს არის ყოველდღიური დავალება 24 საათის ხანგრძლივობით და ორ შესრულებას შორის 10 წუთიანი ინტერვალით, რაც ნიშნავს, რომ ის მუდმივად იმუშავებს.

მავნე ბიტი

ჩვენს მაგალითში, შესრულებადი ფაილი TCPSVCS.exe (AcroTranscoder.exe) არის ლეგიტიმური პროგრამა, რომელიც ატვირთავს DLL-ებს, რომლებიც გადატვირთულია მასთან ერთად. ამ შემთხვევაში საინტერესოა Flash Video Extension.dll.

მისი ფუნქცია DLLMain უბრალოდ იძახებს სხვა ფუნქციას. არსებობს რამდენიმე ბუნდოვანი პრედიკატი:

სურათი 7. ბუნდოვანი პრედიკატები

ამ შეცდომაში შემყვანი შემოწმების შემდეგ, კოდი იღებს განყოფილებას .text ფაილი TCPSVCS.exe, ცვლის თავის დაცვას PAGE_EXECUTE_READWRITE და ხელახლა წერს მას მოტყუებული ინსტრუქციების დამატებით:

სურათი 8. ინსტრუქციების თანმიმდევრობა

დასასრულს ფუნქციის მისამართი FLVCore::Uninitialize(void)ექსპორტირებული Flash Video Extension.dll, დამატებულია ინსტრუქცია CALL. ეს ნიშნავს, რომ მავნე DLL-ის ჩატვირთვის შემდეგ, გაშვების დრო დარეკავს WinMain в TCPSVCS.exe, ინსტრუქციის მაჩვენებელი მიუთითებს NOP-ზე, რაც იწვევს FLVCore::Uninitialize(void), შემდეგი ეტაპი.

ფუნქცია უბრალოდ ქმნის მუტექსს დაწყებული {181C8480-A975-411C-AB0A-630DB8B0A221}მოჰყვება მიმდინარე მომხმარებლის სახელი. შემდეგ ის კითხულობს გადაყრილ *.db3 ფაილს, რომელიც შეიცავს პოზიციისგან დამოუკიდებელ კოდს და იყენებს CreateThread შინაარსის შესასრულებლად.

*.db3 ფაილის შიგთავსი არის shell-კოდი, რომელსაც ჩვეულებრივ იყენებს OceanLotus ჯგუფი. ჩვენ კვლავ წარმატებით გავხსენით მისი დატვირთვა ჩვენს მიერ გამოქვეყნებული ემულატორის სკრიპტის გამოყენებით GitHub-ზე.

სცენარი ასახავს ფინალურ ეტაპს. ეს კომპონენტი არის უკანა კარი, რომელიც ჩვენ უკვე გავაანალიზეთ OceanLotus-ის წინა კვლევა. ეს შეიძლება განისაზღვროს GUID-ის მიერ {A96B020F-0000-466F-A96D-A91BBF8EAC96} ბინარული ფაილი. მავნე პროგრამის კონფიგურაცია კვლავ დაშიფრულია PE რესურსში. მას აქვს დაახლოებით იგივე კონფიგურაცია, მაგრამ C&C სერვერები განსხვავდება წინა სერვერებისგან:

- andreagahuvrauvin[.]com - byronorenstein[.]com - stienollmache[.]xyz

OceanLotus-ის გუნდი კვლავ აჩვენებს სხვადასხვა ტექნიკის კომბინაციას გამოვლენის თავიდან ასაცილებლად. ისინი დაბრუნდნენ ინფექციის პროცესის "დახვეწილი" სქემით. შემთხვევითი სახელების არჩევით და შემსრულებელი ფაილების შემთხვევითი მონაცემებით შევსებით, ისინი ამცირებენ საიმედო IoC-ების რაოდენობას (ჰეშებისა და ფაილების სახელების საფუძველზე). უფრო მეტიც, მესამე მხარის DLL ჩატვირთვის გამოყენების წყალობით, თავდამსხმელებს მხოლოდ ლეგიტიმური ბინარის ამოღება სჭირდებათ. AcroTranscoder.

არქივების თვითმმართველობის ამოღება

RTF ფაილების შემდეგ ჯგუფი გადავიდა თვითმმართველობის ამოღების (SFX) არქივებში, საერთო დოკუმენტის ხატებით, რათა კიდევ უფრო დაბნეულიყო მომხმარებელი. Threatbook დაწერა ამის შესახებ (ბმული ჩინურად). გაშვებისთანავე, თვითმმართველობის ამოღება RAR ფაილები იშლება და DLL-ები .ocx გაფართოებით სრულდება, რომელთა საბოლოო დატვირთვა ადრე იყო დოკუმენტირებული. {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll. 2019 წლის იანვრის შუა რიცხვებიდან OceanLotus ხელახლა იყენებს ამ ტექნიკას, მაგრამ დროთა განმავლობაში ცვლის ზოგიერთ კონფიგურაციას. ამ ნაწილში ვისაუბრებთ ტექნიკასა და ცვლილებებზე.

სატყუარას შექმნა

დოკუმენტი THICH-THONG-LAC-HANH-THAP-THIEN-VIET-NAM (1).EXE (SHA-1: AC10F5B1D5ECAB22B7B418D6E98FA18E32BBDEAB) პირველად 2018 წელს აღმოაჩინეს. ეს SFX ფაილი გონივრულად შეიქმნა - აღწერაში (ვერსია ინფორმაცია) ამბობს, რომ ეს არის JPEG სურათი. SFX სკრიპტი ასე გამოიყურება:

სურათი 9. SFX ბრძანებები

მავნე პროგრამა აღდგება {9ec60ada-a200-4159-b310-8071892ed0c3}.ocx (SHA-1: EFAC23B0E6395B1178BCF7086F72344B24C04DCC), ისევე როგორც სურათი 2018 thich thong lac.jpg.

მატყუარას სურათი ასე გამოიყურება:

სურათი 10. სამარცხვინო გამოსახულება

თქვენ შეიძლება შეამჩნიეთ, რომ SFX სკრიპტის პირველი ორი ხაზი ორჯერ იძახებს OCX ფაილს, მაგრამ ეს არ არის შეცდომა.

{9ec60ada-a200-4159-b310-8071892ed0c3}.ocx (ShLd.dll)

OCX ფაილის კონტროლის ნაკადი ძალიან ჰგავს OceanLotus-ის სხვა კომპონენტებს - მრავალი ბრძანების თანმიმდევრობა JZ/JNZ и PUSH/RET, ნაგვის კოდით მონაცვლეობით.

სურათი 11. ბუნდოვანი კოდი

უსარგებლო კოდის გაფილტვრის შემდეგ, ექსპორტი DllRegisterServer, დაურეკა regsvr32.exe, შემდეგნაირად:

სურათი 12. ინსტალერის ძირითადი კოდი

ძირითადად, პირველ ზარზე DllRegisterServer ექსპორტი ადგენს რეესტრის მნიშვნელობას HKCUSOFTWAREClassesCLSID{E08A0F4B-1F65-4D4D-9A09-BD4625B9C5A1}Model DLL-ში დაშიფრული ოფსეტისთვის (0x10001DE0).

როდესაც ფუნქცია მეორედ გამოიძახება, ის კითხულობს იგივე მნიშვნელობას და ასრულებს ამ მისამართზე. აქედან იკითხება და სრულდება რესურსი და ბევრი მოქმედება RAM-ში.

shellcode არის იგივე PE loader, რომელიც გამოიყენებოდა წარსულ OceanLotus-ის კამპანიებში. მისი ემულაცია შესაძლებელია გამოყენებით ჩვენი სცენარი. ბოლოს ის გადატვირთავს db293b825dcc419ba7dc2c49fa2757ee.dll, ჩატვირთავს მას მეხსიერებაში და ახორციელებს DllEntry.

DLL ამოიღებს მისი რესურსის შიგთავსს, შიფრავს (AES-256-CBC) და დეკომპრესირებს (LZMA). რესურსს აქვს სპეციფიკური ფორმატი, რომლის დეკომპილირება მარტივია.

სურათი 13. ინსტალერის კონფიგურაციის სტრუქტურა (KaitaiStruct Visualizer)

კონფიგურაცია ცალსახად არის მითითებული - პრივილეგიის დონის მიხედვით, ორობითი მონაცემები ჩაიწერება %appdata%IntellogsBackgroundUploadTask.cpl ან %windir%System32BackgroundUploadTask.cpl (ან SysWOW64 64-ბიტიანი სისტემებისთვის).

შემდგომი გამძლეობა უზრუნველყოფილია სახელით დავალების შექმნით BackgroundUploadTask[junk].jobსად [junk] წარმოადგენს ბაიტების ერთობლიობას 0x9D и 0xA0.

დავალების განაცხადის სახელი %windir%System32control.exeდა პარამეტრის მნიშვნელობა არის გადმოწერილი ორობითი ფაილის გზა. ფარული დავალება მუშაობს ყოველდღე.

სტრუქტურულად, CPL ფაილი არის DLL შიდა სახელით ac8e06de0a6c4483af9837d96504127e.dll, რომელიც ახორციელებს ფუნქციის ექსპორტს CPlApplet. ეს ფაილი შიფრავს თავის ერთადერთ რესურსს {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll, შემდეგ ჩატვირთავს ამ DLL-ს და უწოდებს მის ერთადერთ ექსპორტს DllEntry.

Backdoor-ის კონფიგურაციის ფაილი

Backdoor-ის კონფიგურაცია დაშიფრულია და ჩართულია მის რესურსებში. კონფიგურაციის ფაილის სტრუქტურა ძალიან ჰგავს წინას.

სურათი 14. Backdoor-ის კონფიგურაციის სტრუქტურა (KaitaiStruct Visualizer)

მიუხედავად იმისა, რომ სტრუქტურა მსგავსია, ველის მრავალი მნიშვნელობა განახლებულია ნაჩვენებიდან ჩვენი ძველი ანგარიში.

ორობითი მასივის პირველი ელემენტი შეიცავს DLL (HttpProv.dll MD5: 2559738D1BD4A999126F900C7357B759), იდენტიფიცირებული Tencent-ის მიერ. მაგრამ რადგან ექსპორტის სახელი ამოღებულია ბინარიდან, ჰეშები არ ემთხვევა.

დამატებითი კვლევა

ნიმუშების შეგროვებისას ჩვენ შევნიშნეთ რამდენიმე მახასიათებელი. ახლახან აღწერილი ნიმუში გამოჩნდა დაახლოებით 2018 წლის ივლისში და სხვა მსგავსი ჯერ კიდევ 2019 წლის იანვრის შუა რიცხვებიდან თებერვლის დასაწყისში გამოჩნდა. SFX არქივი გამოიყენებოდა, როგორც ინფექციის ვექტორი, ჩამოაგდო ლეგიტიმური დამამშვიდებელი დოკუმენტი და მავნე OSX ფაილი.

მიუხედავად იმისა, რომ OceanLotus იყენებს ყალბ დროის ნიშანს, ჩვენ შევამჩნიეთ, რომ SFX და OCX ფაილების დროის შტამპები ყოველთვის ერთნაირია (0x57B0C36A (08/14/2016 @ 7:15 UTC) და 0x498BE80F (02/06/2009 @ 7:34 UTC) შესაბამისად). ეს ალბათ იმაზე მეტყველებს, რომ ავტორებს ჰყავთ რაიმე სახის „დიზაინერი“, რომელიც იყენებს იგივე შაბლონებს და უბრალოდ ცვლის ზოგიერთ მახასიათებელს.

დოკუმენტებს შორის, რომლებიც ჩვენ შევისწავლეთ 2018 წლის დასაწყისიდან, არის სხვადასხვა სახელები, რომლებიც მიუთითებს თავდამსხმელების ინტერესის ქვეყნებზე:

— კამბოჯის მედიის ახალი საკონტაქტო ინფორმაცია (New).xls.exe
— 李建香 (个人简历).exe (CV-ის ყალბი pdf დოკუმენტი)
- გამოხმაურება, რალი აშშ-ში 28 წლის 29-2018 ივლისიდან.exe

მას შემდეგ, რაც უკანა კარი აღმოაჩინეს {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll და რამდენიმე მკვლევარის მიერ მისი ანალიზის გამოქვეყნებით, ჩვენ დავაფიქსირეთ გარკვეული ცვლილებები მავნე პროგრამის კონფიგურაციის მონაცემებში.

პირველ რიგში, ავტორებმა დაიწყეს სახელების ამოღება დამხმარე DLL-ებიდან (DNSprov.dll და ორი ვერსია HttpProv.dll). შემდეგ ოპერატორებმა შეწყვიტეს მესამე DLL-ის შეფუთვა (მეორე ვერსია HttpProv.dll), ვირჩევთ მხოლოდ ერთის ჩასმას.

მეორეც, ბევრი უკანა კარის კონფიგურაციის ველი შეიცვალა, რაც, სავარაუდოდ, თავიდან აიცილებდა აღმოჩენას, რადგან ბევრი IoC გახდა ხელმისაწვდომი. ავტორების მიერ შეცვლილი მნიშვნელოვანი ველები მოიცავს:

AppX რეესტრის გასაღები შეიცვალა (იხილეთ IoCs)
mutex კოდირების სტრიქონი ("def", "abc", "ghi")
პორტის ნომერი

დაბოლოს, გაანალიზებულ ყველა ახალ ვერსიას აქვს ახალი C&C ჩამოთვლილი IoCs განყოფილებაში.

დასკვნები

OceanLotus აგრძელებს განვითარებას. კიბერ-ჯგუფი ორიენტირებულია ხელსაწყოების და მატყუარას დახვეწასა და გაფართოებაზე. ავტორები მალავენ მავნე დატვირთვას ყურადღების მიპყრობის დოკუმენტების გამოყენებით, რომელთა თემა შესაბამისია სავარაუდო მსხვერპლებთან. ისინი ავითარებენ ახალ სქემებს და ასევე იყენებენ საჯაროდ ხელმისაწვდომ ინსტრუმენტებს, როგორიცაა Equation Editor ექსპლოიტი. უფრო მეტიც, ისინი აუმჯობესებენ ინსტრუმენტებს მსხვერპლის მანქანებზე დარჩენილი არტეფაქტების რაოდენობის შესამცირებლად, რითაც ამცირებს ანტივირუსული პროგრამული უზრუნველყოფის მიერ გამოვლენის შანსს.