🥇ESET: New OceanLotus Backdoor Delivery Schemes

ໃນບົດຂຽນນີ້, ພວກເຮົາຈະບອກທ່ານວ່າກຸ່ມ cyber OceanLotus (APT32 ແລະ APT-C-00) ບໍ່ດົນມານີ້ໄດ້ໃຊ້ຫນຶ່ງໃນການຂຸດຄົ້ນທີ່ມີສາທາລະນະສໍາລັບ CVE-2017-11882, ຊ່ອງໂຫວ່ການສໍ້ລາດບັງຫຼວງຂອງຫນ່ວຍຄວາມຈໍາໃນ Microsoft Office, ແລະວິທີການ malware ຂອງກຸ່ມບັນລຸຄວາມຄົງທົນຢູ່ໃນລະບົບທີ່ຖືກທໍາລາຍໂດຍບໍ່ປ່ອຍໃຫ້ຮ່ອງຮອຍ. ຕໍ່ໄປ, ພວກເຮົາຈະອະທິບາຍວິທີການ, ຕັ້ງແຕ່ຕົ້ນປີ 2019, ກຸ່ມດັ່ງກ່າວໄດ້ໃຊ້ການເກັບລວບລວມຂໍ້ມູນດ້ວຍຕົນເອງເພື່ອແລ່ນລະຫັດ.

OceanLotus ຊ່ຽວຊານດ້ານການສອດແນມທາງອິນເຕີເນັດ, ໂດຍມີເປົ້າໝາຍບູລິມະສິດແມ່ນບັນດາປະເທດໃນອາຊີຕາເວັນອອກສຽງໃຕ້. ພວກໂຈມຕີໄດ້ປອມແປງເອກະສານທີ່ດຶງດູດຄວາມສົນໃຈຂອງຜູ້ເຄາະຮ້າຍທີ່ເປັນໄປໄດ້ ເພື່ອຊັກຈູງພວກເຂົາເຈົ້າໃຫ້ປະຫານຊີວິດທາງຫຼັງ, ແລະຍັງກຳລັງພັດທະນາເຄື່ອງມື. ວິທີການທີ່ໃຊ້ໃນການສ້າງ honeypots ແຕກຕ່າງກັນໄປທົ່ວການໂຈມຕີ, ຈາກໄຟລ໌ "ການຂະຫຍາຍສອງເທົ່າ", ການເກັບຂໍ້ມູນດ້ວຍຕົນເອງ, ເອກະສານທີ່ມີມະຫາພາກ, ຈົນເຖິງການຂູດຮີດທີ່ຮູ້ຈັກ.

ການນໍາໃຊ້ການຂຸດຄົ້ນໃນ Microsoft Equation Editor

ໃນກາງປີ 2018, OceanLotus ໄດ້ດໍາເນີນການໂຄສະນາການຂຸດຄົ້ນຊ່ອງໂຫວ່ CVE-2017-11882. ຫນຶ່ງໃນເອກະສານທີ່ເປັນອັນຕະລາຍຂອງກຸ່ມ cyber ໄດ້ຖືກວິເຄາະໂດຍຜູ້ຊ່ຽວຊານຈາກ 360 Threat Intelligence Center (ການຄົ້ນຄວ້າໃນພາສາຈີນ), ລວມທັງລາຍລະອຽດຂອງການຂຸດຄົ້ນ. ຂໍ້ຄວາມຂ້າງລຸ່ມນີ້ປະກອບດ້ວຍພາບລວມຂອງເອກະສານທີ່ເປັນອັນຕະລາຍດັ່ງກ່າວ.

ຂັ້ນຕອນຂອງການຄັ້ງທໍາອິດ

ເອກະສານ FW Report on demonstration of former CNRP in Republic of Korea.doc (SHA-1: D1357B284C951470066AAA7A8228190B88A5C7C3) ແມ່ນຄ້າຍຄືກັນກັບທີ່ໄດ້ກ່າວມາໃນການສຶກສາຂ້າງເທິງ. ເປັນທີ່ໜ້າສົນໃຈເພາະວ່າມັນແນໃສ່ຜູ້ໃຊ້ທີ່ສົນໃຈໃນການເມືອງກຳປູເຈຍ (CNRP - Cambodia National Rescue Party, ຍຸບຕົວໃນທ້າຍປີ 2017). ເຖິງວ່າຈະມີການຂະຫຍາຍ .doc, ເອກະສານແມ່ນຢູ່ໃນຮູບແບບ RTF (ເບິ່ງຮູບຂ້າງລຸ່ມນີ້), ມີລະຫັດຂີ້ເຫຍື້ອ, ແລະຍັງຖືກບິດເບືອນ.

ຮູບ 1. "ຂີ້ເຫຍື້ອ" ໃນ RTF

ເຖິງແມ່ນວ່າມີອົງປະກອບທີ່ສັບສົນ, Word ເປີດໄຟລ໌ RTF ນີ້ຢ່າງສໍາເລັດຜົນ. ດັ່ງທີ່ເຈົ້າເຫັນໃນຮູບທີ 2, ມີໂຄງສ້າງ EQNOLEFILEHDR ຢູ່ທີ່ offset 0xC00, ຕິດຕາມດ້ວຍຫົວ MTEF, ແລະຫຼັງຈາກນັ້ນເປັນ MTEF entry (ຮູບ 3) ສໍາລັບຕົວອັກສອນ.

ຮູບທີ 2. ຄ່າເຂົ້າ FONT

ຮູບ 3. ຮູບແບບການບັນທຶກ FONT

ເປັນໄປໄດ້ overflow ໃນພາກສະຫນາມ ຊື່, ເນື່ອງຈາກວ່າຂະຫນາດຂອງມັນບໍ່ໄດ້ຖືກກວດສອບກ່ອນທີ່ຈະຄັດລອກ. ຊື່ທີ່ຍາວເກີນໄປເຮັດໃຫ້ເກີດຊ່ອງໂຫວ່. ດັ່ງທີ່ເຈົ້າສາມາດເຫັນໄດ້ຈາກເນື້ອໃນຂອງໄຟລ໌ RTF (ຊົດເຊີຍ 0xC26 ໃນຮູບ 2), buffer ແມ່ນເຕັມໄປດ້ວຍ shellcode ປະຕິບັດຕາມຄໍາສັ່ງ dummy (0x90) ແລະກັບຄືນທີ່ຢູ່ 0x402114. ທີ່ຢູ່ແມ່ນອົງປະກອບຂອງກ່ອງໂຕ້ຕອບໃນ EQNEDT32.exe, ຊີ້ບອກຄໍາແນະນໍາ RET. ນີ້ເຮັດໃຫ້ EIP ຊີ້ໃຫ້ເຫັນເຖິງຈຸດເລີ່ມຕົ້ນຂອງພາກສະຫນາມ ຊື່ປະກອບມີ shellcode.

ຮູບທີ 4. ການເລີ່ມຕົ້ນຂອງ exploit shellcode

ທີ່ຢູ່ 0x45BD3C ເກັບຮັກສາຕົວແປທີ່ dereferenced ຈົນກ່ວາມັນໄປຮອດຕົວຊີ້ໄປຫາໂຄງສ້າງທີ່ໂຫລດໃນປັດຈຸບັນ MTEFData. ສ່ວນທີ່ເຫຼືອຂອງ shellcode ຢູ່ທີ່ນີ້.

ຈຸດປະສົງຂອງ shellcode ແມ່ນເພື່ອປະຕິບັດຊິ້ນທີສອງຂອງ shellcode ທີ່ຝັງຢູ່ໃນເອກະສານເປີດ. ຕົ້ນສະບັບ shellcode ທໍາອິດພະຍາຍາມຊອກຫາໄຟລ໌ descriptor ຂອງເອກະສານເປີດໂດຍ iterating ຫຼາຍກວ່າຕົວອະທິບາຍລະບົບທັງຫມົດ (NtQuerySystemInformation ດ້ວຍການໂຕ້ຖຽງ SystemExtendedHandleInformation) ແລະກວດເບິ່ງວ່າພວກເຂົາກົງກັນ ອັກເສບທ້ອງນ້ອຍ ຕົວອະທິບາຍແລະ ອັກເສບທ້ອງນ້ອຍ ຂະບວນການ WinWord ແລະບໍ່ວ່າເອກະສານໄດ້ຖືກເປີດດ້ວຍຫນ້າກາກການເຂົ້າເຖິງ - 0x12019F.

ເພື່ອຢືນຢັນວ່າຕົວຈັບທີ່ຖືກຕ້ອງໄດ້ຖືກພົບເຫັນ (ແລະບໍ່ແມ່ນຕົວຈັບຂອງເອກະສານເປີດອື່ນ), ເນື້ອໃນຂອງໄຟລ໌ຈະຖືກສະແດງໂດຍໃຊ້ຟັງຊັນ. CreateFileMapping, ແລະ shellcode ກວດເບິ່ງວ່າສີ່ bytes ສຸດທ້າຍຂອງເອກະສານກົງກັນ "yyyy” (ວິທີການລ່າໄຂ່). ເມື່ອພົບຂໍ້ມູນທີ່ກົງກັນ, ເອກະສານຈະຖືກຄັດລອກໃສ່ໂຟນເດີຊົ່ວຄາວ (GetTempPath) ແນວໃດ ole.dll. ຫຼັງຈາກນັ້ນ, ສຸດທ້າຍ 12 bytes ຂອງເອກະສານໄດ້ຖືກອ່ານ.

ຮູບທີ 5. ຈຸດຈົບຂອງເຄື່ອງໝາຍເອກະສານ

ຄ່າ 32-ບິດລະຫວ່າງເຄື່ອງໝາຍ AABBCCDD и yyyy ແມ່ນການຊົດເຊີຍຂອງ shellcode ຕໍ່ໄປ. ມັນຖືກເອີ້ນວ່າການນໍາໃຊ້ຫນ້າທີ່ CreateThread. ສະກັດລະຫັດ shell ດຽວກັນທີ່ຖືກນໍາໃຊ້ໂດຍກຸ່ມ OceanLotus ກ່ອນຫນ້ານັ້ນ. script emulation Python, ທີ່ພວກເຮົາປ່ອຍອອກມາໃນເດືອນມີນາ 2018, ຍັງເຮັດວຽກສໍາລັບການ dump ຂັ້ນຕອນທີສອງ.

ຂັ້ນຕອນທີສອງ

ການຖອນອົງປະກອບ

ຊື່ໄຟລ໌ ແລະໄດເລກະທໍລີຖືກເລືອກແບບໄດນາມິກ. ລະຫັດສຸ່ມເລືອກຊື່ຂອງໄຟລ໌ທີ່ສາມາດປະຕິບັດໄດ້ຫຼື DLL ໃນ C:Windowssystem32. ຫຼັງຈາກນັ້ນ, ມັນເຮັດໃຫ້ການຮ້ອງຂໍກັບຊັບພະຍາກອນຂອງຕົນແລະດຶງຂໍ້ມູນພາກສະຫນາມໄດ້ FileDescription ເພື່ອໃຊ້ເປັນຊື່ໂຟນເດີ. ຖ້າອັນນີ້ໃຊ້ບໍ່ໄດ້, ລະຫັດສຸ່ມເລືອກຊື່ໂຟນເດີຈາກໄດເລກະທໍລີ %ProgramFiles% ຫຼື C:Windows (из GetWindowsDirectoryW). Он избегает использования имени, которое может конфликтовать с существующими файлами, и следит за тем, чтобы оно не содержало следующие слова: windows, Microsoft, desktop, system, system32 ຫຼື syswow64. ຖ້າໄດເຣັກທໍຣີມີຢູ່ແລ້ວ, "NLS_{6 ຕົວອັກສອນ}" ຈະຖືກຕໍ່ທ້າຍຊື່.

ຊັບພະຍາກອນ 0x102 ຖືກວິເຄາະແລະໄຟລ໌ຖືກຖິ້ມໃສ່ %ProgramFiles% ຫຼື %AppData%, ໄປຫາໂຟນເດີທີ່ເລືອກແບບສຸ່ມ. ປ່ຽນເວລາສ້າງໃຫ້ມີມູນຄ່າດຽວກັນກັບ kernel32.dll.

ຕົວຢ່າງ, ນີ້ແມ່ນໂຟນເດີແລະບັນຊີລາຍຊື່ຂອງໄຟລ໌ທີ່ສ້າງຂຶ້ນໂດຍການເລືອກທີ່ປະຕິບັດໄດ້ C:Windowssystem32TCPSVCS.exe ເປັນແຫຼ່ງຂໍ້ມູນ.

ຮູບ 6. ການສະກັດເອົາອົງປະກອບຕ່າງໆ

ໂຄງສ້າງຊັບພະຍາກອນ 0x102 ໃນ dropper ແມ່ນຂ້ອນຂ້າງສະລັບສັບຊ້ອນ. ໃນສັ້ນ, ມັນປະກອບດ້ວຍ:
— ຊື່ໄຟລ໌
- ຂະຫນາດໄຟລ໌ແລະເນື້ອໃນ
- ຮູບແບບການບີບອັດ (COMPRESSION_FORMAT_LZNT1, ໃຊ້ໂດຍຟັງຊັນ RtlDecompressBuffer)

ໄຟລ໌ທໍາອິດຖືກປັບເປັນ TCPSVCS.exe, ຊຶ່ງເປັນທີ່ຖືກຕ້ອງ AcroTranscoder.exe (ອີງຕາມ FileDescription, SHA-1: 2896738693A8F36CC7AD83EF1FA46F82F32BE5A3).

ທ່ານອາດຈະສັງເກດເຫັນວ່າບາງໄຟລ໌ DLL ມີຂະຫນາດໃຫຍ່ກວ່າ 11 MB. ນີ້ແມ່ນຍ້ອນວ່າ buffer ຕິດຕໍ່ກັນຂະຫນາດໃຫຍ່ຂອງຂໍ້ມູນແບບສຸ່ມແມ່ນຖືກຈັດໃສ່ຢູ່ໃນໄຟລ໌ທີ່ສາມາດປະຕິບັດໄດ້. ມັນເປັນໄປໄດ້ວ່ານີ້ແມ່ນວິທີການເພື່ອຫຼີກເວັ້ນການກວດພົບໂດຍບາງຜະລິດຕະພັນຄວາມປອດໄພ.

ຮັບປະກັນຄວາມທົນທານ

ຊັບພະຍາກອນ 0x101 ໃນ dropper ມີສອງຈໍານວນ 32-bit ທີ່ກໍານົດວິທີການຄົງທີ່ຄວນຈະຖືກສະຫນອງໃຫ້. ມູນຄ່າຂອງທໍາອິດລະບຸວ່າ malware ຈະຍັງຄົງຢູ່ໂດຍບໍ່ມີສິດຂອງຜູ້ເບິ່ງແຍງລະບົບ.

ຕາຕະລາງ 1. ກົນໄກການຄົງຕົວໂດຍບໍ່ມີສິດຂອງຜູ້ບໍລິຫານ

ມູນຄ່າຂອງຈຳນວນເຕັມທີສອງລະບຸວ່າ malware ຄວນບັນລຸຄວາມຄົງທົນແນວໃດເມື່ອແລ່ນດ້ວຍສິດຂອງຜູ້ເບິ່ງແຍງລະບົບ.

ຕາຕະລາງ 2. ກົນໄກການຄົງຕົວທີ່ມີສິດທິຂອງຜູ້ບໍລິຫານ

ຊື່ການບໍລິການແມ່ນຊື່ໄຟລ໌ທີ່ບໍ່ມີນາມສະກຸນ; ຊື່ທີ່ສະແດງແມ່ນຊື່ຂອງໂຟນເດີ, ແຕ່ຖ້າມັນມີຢູ່ແລ້ວ, ຂໍ້ຄວາມ "ຖືກຕໍ່ໃສ່ມັນRevision 1” (ຕົວເລກຈະເພີ່ມຂຶ້ນຈົນກວ່າຈະພົບເຫັນຊື່ທີ່ບໍ່ໄດ້ໃຊ້). ຜູ້ປະກອບການເຮັດໃຫ້ແນ່ໃຈວ່າຄວາມຄົງທົນຜ່ານການບໍລິການແມ່ນແຂງແຮງ - ໃນກໍລະນີຂອງຄວາມລົ້ມເຫຼວ, ການບໍລິການຄວນໄດ້ຮັບການເລີ່ມຕົ້ນໃຫມ່ຫຼັງຈາກ 1 ວິນາທີ. ຫຼັງຈາກນັ້ນ, ມູນຄ່າ WOW64 ລະຫັດທະບຽນຂອງບໍລິການໃຫມ່ແມ່ນຕັ້ງເປັນ 4, ສະແດງໃຫ້ເຫັນວ່າມັນເປັນການບໍລິການ 32-bit.

ວຽກງານທີ່ກໍານົດເວລາແມ່ນຖືກສ້າງຂຶ້ນໂດຍຜ່ານການໂຕ້ຕອບ COM ຫຼາຍອັນ: ITaskScheduler, ITask, ITaskTrigger, IPersistFile и ITaskScheduler. ໂດຍພື້ນຖານແລ້ວ, malware ສ້າງວຽກທີ່ເຊື່ອງໄວ້, ກໍານົດຂໍ້ມູນບັນຊີພ້ອມກັບຂໍ້ມູນຜູ້ໃຊ້ຫຼືຜູ້ເບິ່ງແຍງລະບົບໃນປະຈຸບັນ, ແລະຫຼັງຈາກນັ້ນກໍານົດຜົນກະທົບຕໍ່.

ນີ້ແມ່ນວຽກງານປະຈໍາວັນທີ່ມີໄລຍະເວລາ 24 ຊົ່ວໂມງແລະໄລຍະລະຫວ່າງສອງປະຕິບັດຂອງ 10 ນາທີ, ຊຶ່ງຫມາຍຄວາມວ່າມັນຈະດໍາເນີນການຕໍ່ເນື່ອງ.

ອັນຕະລາຍເລັກນ້ອຍ

ໃນຕົວຢ່າງຂອງພວກເຮົາ, ໄຟລ໌ທີ່ສາມາດປະຕິບັດໄດ້ TCPSVCS.exe (AcroTranscoder.exe) ແມ່ນຊອບແວທີ່ຖືກຕ້ອງຕາມກົດຫມາຍທີ່ໂຫລດ DLLs ທີ່ຖືກຕັ້ງຄ່າໃຫມ່ພ້ອມກັບມັນ. ໃນກໍລະນີນີ້, ມັນມີຄວາມສົນໃຈ Flash Video Extension.dll.

ຫນ້າທີ່ຂອງມັນ DLLMain ພຽງແຕ່ໂທຫາຟັງຊັນອື່ນ. ບາງຕົວຄາດຄະເນ fuzzy ມີຢູ່:

ຮູບທີ 7. Fuzzy predicates

ຫຼັງຈາກການກວດສອບຄວາມເຂົ້າໃຈຜິດເຫຼົ່ານີ້, ລະຫັດໄດ້ຮັບສ່ວນຫນຶ່ງ .text ໄຟລ TCPSVCS.exe, ການປ່ຽນແປງການປ້ອງກັນຂອງຕົນເປັນ PAGE_EXECUTE_READWRITE ແລະຂຽນມັນໃຫມ່ໂດຍການເພີ່ມຄໍາແນະນໍາ dummy:

ຮູບ 8. ລໍາດັບຂອງຄໍາແນະນໍາ

ໃນຕອນທ້າຍຂອງທີ່ຢູ່ຟັງຊັນ FLVCore::Uninitialize(void), ສົ່ງອອກ Flash Video Extension.dll, ຄໍາແນະນໍາແມ່ນເພີ່ມ CALL. ນີ້ຫມາຍຄວາມວ່າຫຼັງຈາກ DLL ທີ່ເປັນອັນຕະລາຍຖືກໂຫລດ, ເມື່ອ runtime ໂທຫາ WinMain в TCPSVCS.exe, ຕົວຊີ້ຄໍາແນະນໍາຈະຊີ້ໄປຫາ NOP, ເຊິ່ງກໍ່ໃຫ້ເກີດ FLVCore::Uninitialize(void), ຂັ້ນຕອນຕໍ່ໄປ.

ຟັງຊັນພຽງແຕ່ສ້າງ mutex ເລີ່ມຕົ້ນດ້ວຍ {181C8480-A975-411C-AB0A-630DB8B0A221}ຕິດຕາມດ້ວຍຊື່ຜູ້ໃຊ້ປະຈຸບັນ. ຈາກນັ້ນມັນອ່ານໄຟລ໌ *.db3 ທີ່ຖືກຖິ້ມໄວ້, ເຊິ່ງປະກອບດ້ວຍລະຫັດທີ່ບໍ່ຂຶ້ນກັບຕຳແໜ່ງ ແລະໃຊ້ CreateThread ເພື່ອປະຕິບັດເນື້ອໃນ.

ເນື້ອໃນຂອງໄຟລ໌ *.db3 ແມ່ນລະຫັດ shell ທີ່ກຸ່ມ OceanLotus ປົກກະຕິແລ້ວໃຊ້. ອີກເທື່ອໜຶ່ງ ພວກເຮົາສຳເລັດການຫຸ້ມຫໍ່ payload ຂອງມັນໂດຍໃຊ້ emulator script ທີ່ພວກເຮົາເຜີຍແຜ່ ໃນ GitHub.

script ສະກັດຂັ້ນຕອນສຸດທ້າຍ. ອົງປະກອບນີ້ແມ່ນ backdoor, ເຊິ່ງພວກເຮົາໄດ້ວິເຄາະແລ້ວໃນ ການສຶກສາ OceanLotus ທີ່ຜ່ານມາ. ນີ້ສາມາດຖືກກໍານົດໂດຍ GUID {A96B020F-0000-466F-A96D-A91BBF8EAC96} ໄຟລ໌ຄູ່. ການຕັ້ງຄ່າ malware ຍັງຖືກເຂົ້າລະຫັດຢູ່ໃນຊັບພະຍາກອນ PE. ມັນມີການຕັ້ງຄ່າປະມານດຽວກັນ, ແຕ່ວ່າເຊີບເວີ C&C ແມ່ນແຕກຕ່າງຈາກທີ່ຜ່ານມາ:

- andreagahuvrauvin[.]com - byronorenstein[.]com - stienollmache[.]xyz

ທີມງານ OceanLotus ອີກເທື່ອຫນຶ່ງສະແດງໃຫ້ເຫັນການປະສົມປະສານຂອງເຕັກນິກທີ່ແຕກຕ່າງກັນເພື່ອຫຼີກເວັ້ນການກວດພົບ. ພວກເຂົາກັບຄືນມາດ້ວຍແຜນວາດ "ປັບປຸງ" ຂອງຂະບວນການຕິດເຊື້ອ. ໂດຍການເລືອກຊື່ແບບສຸ່ມແລະການຕື່ມຂໍ້ມູນທີ່ສາມາດປະຕິບັດໄດ້ດ້ວຍຂໍ້ມູນແບບສຸ່ມ, ພວກເຂົາຫຼຸດລົງຈໍານວນ IoCs ທີ່ເຊື່ອຖືໄດ້ (ອີງໃສ່ hashes ແລະຊື່ໄຟລ໌). ຍິ່ງໄປກວ່ານັ້ນ, ຍ້ອນການໃຊ້ການໂຫຼດ DLL ຂອງພາກສ່ວນທີສາມ, ຜູ້ໂຈມຕີພຽງແຕ່ຕ້ອງການເອົາ binary ທີ່ຖືກຕ້ອງ. AcroTranscoder.

ຮວບຮວມເກັບຂໍ້ມູນດ້ວຍຕົນເອງ

ຫຼັງຈາກໄຟລ໌ RTF, ກຸ່ມໄດ້ຍ້າຍໄປການສະກັດເອົາດ້ວຍຕົນເອງ (SFX) archives ດ້ວຍໄອຄອນເອກະສານທົ່ວໄປເພື່ອເຮັດໃຫ້ຜູ້ໃຊ້ສັບສົນຕື່ມອີກ. Threatbook ຂຽນກ່ຽວກັບເລື່ອງນີ້ (link ໃນພາສາຈີນ). ເມື່ອເປີດຕົວ, ໄຟລ໌ RAR ທີ່ສະກັດເອົາດ້ວຍຕົນເອງຈະຫຼຸດລົງແລະ DLLs ທີ່ມີນາມສະກຸນ .ocx ຈະຖືກປະຕິບັດ, ການໂຫຼດສຸດທ້າຍທີ່ໄດ້ບັນທຶກໄວ້ກ່ອນຫນ້ານີ້. {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll. ຕັ້ງແຕ່ກາງເດືອນມັງກອນ 2019, OceanLotus ໄດ້ນຳໃຊ້ເຕັກນິກນີ້ຄືນໃໝ່, ແຕ່ມີການປ່ຽນແປງບາງການຕັ້ງຄ່າຕາມເວລາ. ໃນພາກນີ້ພວກເຮົາຈະເວົ້າກ່ຽວກັບເຕັກນິກແລະການປ່ຽນແປງ.

ການສ້າງ Lure ໄດ້

ເອກະສານ THICH-THONG-LAC-HANH-THAP-THIEN-VIET-NAM (1).EXE (SHA-1: AC10F5B1D5ECAB22B7B418D6E98FA18E32BBDEAB) ໄດ້ຖືກພົບເຫັນຄັ້ງທໍາອິດໃນປີ 2018. ໄຟລ໌ SFX ນີ້ຖືກສ້າງຂື້ນຢ່າງສະຫລາດ - ໃນຄໍາອະທິບາຍ (ຂໍ້ມູນສະບັບ) ມັນບອກວ່ານີ້ແມ່ນຮູບ JPEG. ສະຄຣິບ SFX ມີລັກສະນະດັ່ງນີ້:

ຮູບ 9. ຄໍາສັ່ງ SFX

malware ຣີເຊັດ {9ec60ada-a200-4159-b310-8071892ed0c3}.ocx (SHA-1: EFAC23B0E6395B1178BCF7086F72344B24C04DCC), ເຊັ່ນດຽວກັນກັບຮູບພາບ 2018 thich thong lac.jpg.

ຮູບພາບທີ່ຫລອກລວງເບິ່ງຄືນີ້:

ຮູບທີ 10. ຮູບປັ້ນ

ທ່ານອາດຈະສັງເກດເຫັນວ່າສອງແຖວທໍາອິດໃນສະຄິບ SFX ໂທຫາໄຟລ໌ OCX ສອງຄັ້ງ, ແຕ່ນີ້ບໍ່ແມ່ນຄວາມຜິດພາດ.

{9ec60ada-a200-4159-b310-8071892ed0c3}.ocx (ShLd.dll)

ການໄຫຼເຂົ້າຄວບຄຸມຂອງໄຟລ໌ OCX ແມ່ນຄ້າຍຄືກັນກັບອົງປະກອບ OceanLotus ອື່ນໆ - ລໍາດັບຄໍາສັ່ງຫຼາຍ JZ/JNZ и PUSH/RET, ສະລັບກັບລະຫັດຂີ້ເຫຍື້ອ.

ຮູບ 11. ລະຫັດ obfuscated

ຫຼັງຈາກການກັ່ນຕອງອອກລະຫັດຂີ້ເຫຍື້ອ, ສົ່ງອອກ DllRegisterServer, ເອີ້ນວ່າ regsvr32.exe, ດັ່ງຕໍ່ໄປນີ້:

ຮູບ 12. ລະຫັດການຕິດຕັ້ງພື້ນຖານ

ໂດຍພື້ນຖານແລ້ວ, ໃນການໂທຄັ້ງທໍາອິດ DllRegisterServer ສົ່ງອອກກໍານົດມູນຄ່າການລົງທະບຽນ HKCUSOFTWAREClassesCLSID{E08A0F4B-1F65-4D4D-9A09-BD4625B9C5A1}Model ສໍາລັບການເຂົ້າລະຫັດ offset ໃນ DLL (0x10001DE0).

ເມື່ອຟັງຊັນຖືກເອີ້ນເປັນຄັ້ງທີສອງ, ມັນຈະອ່ານຄ່າດຽວກັນແລະດໍາເນີນການຢູ່ທີ່ທີ່ຢູ່ນັ້ນ. ຈາກທີ່ນີ້ຊັບພະຍາກອນແລະການປະຕິບັດຫຼາຍຢ່າງໃນ RAM ຖືກອ່ານແລະປະຕິບັດ.

shellcode ແມ່ນຕົວໂຫລດ PE ດຽວກັນທີ່ໃຊ້ໃນແຄມເປນ OceanLotus ທີ່ຜ່ານມາ. ມັນສາມາດໄດ້ຮັບການ emulated ໂດຍໃຊ້ script ຂອງພວກເຮົາ. ໃນທີ່ສຸດເຂົາປັບ db293b825dcc419ba7dc2c49fa2757ee.dll, ໂຫຼດມັນເຂົ້າໄປໃນຫນ່ວຍຄວາມຈໍາແລະດໍາເນີນການ DllEntry.

DLL ສະກັດເນື້ອໃນຂອງຊັບພະຍາກອນຂອງມັນ, ຖອດລະຫັດ (AES-256-CBC) ແລະ decompresses (LZMA) ມັນ. ຊັບພະຍາກອນມີຮູບແບບສະເພາະທີ່ງ່າຍທີ່ຈະ decompile.

ຮູບທີ 13. ໂຄງສ້າງການຕັ້ງຄ່າຕົວຕິດຕັ້ງ (KaitaiStruct Visualizer)

ການຕັ້ງຄ່າແມ່ນໄດ້ລະບຸໄວ້ຢ່າງຊັດເຈນ - ຂຶ້ນກັບລະດັບສິດທິພິເສດ, ຂໍ້ມູນຖານສອງຈະໄດ້ຮັບການລາຍລັກອັກສອນ. %appdata%IntellogsBackgroundUploadTask.cpl ຫຼື %windir%System32BackgroundUploadTask.cpl (ຫຼື SysWOW64 ສໍາລັບລະບົບ 64-bit).

ຄວາມຄົງທົນຕໍ່ໄປແມ່ນຮັບປະກັນໂດຍການສ້າງວຽກງານທີ່ມີຊື່ BackgroundUploadTask[junk].jobບ່ອນທີ່ [junk] ເປັນຕົວແທນຂອງຊຸດຂອງ bytes 0x9D и 0xA0.

Task Application Name %windir%System32control.exe, ແລະຄ່າພາລາມິເຕີແມ່ນເສັ້ນທາງໄປຫາໄຟລ໌ຖານສອງທີ່ດາວໂຫລດ. ວຽກງານທີ່ເຊື່ອງໄວ້ດໍາເນີນການທຸກໆມື້.

ໂຄງສ້າງ, ໄຟລ໌ CPL ແມ່ນ DLL ທີ່ມີຊື່ພາຍໃນ ac8e06de0a6c4483af9837d96504127e.dll, ເຊິ່ງສົ່ງອອກຫນ້າທີ່ CPlApplet. ໄຟລ໌ນີ້ຖອດລະຫັດຊັບພະຍາກອນອັນດຽວຂອງມັນ {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll, ຫຼັງຈາກນັ້ນໂຫລດ DLL ນີ້ແລະໂທຫາພຽງແຕ່ການສົ່ງອອກຂອງຕົນ DllEntry.

ໄຟລ໌ການຕັ້ງຄ່າ Backdoor

ການຕັ້ງຄ່າ backdoor ຖືກເຂົ້າລະຫັດແລະຝັງຢູ່ໃນຊັບພະຍາກອນຂອງມັນ. ໂຄງສ້າງຂອງໄຟລ໌ການຕັ້ງຄ່າແມ່ນຄ້າຍຄືກັນກັບໄຟລ໌ທີ່ຜ່ານມາ.

ຮູບທີ 14. ໂຄງສ້າງການກຳນົດຄ່າ Backdoor (KaitaiStruct Visualizer)

ເຖິງແມ່ນວ່າໂຄງສ້າງແມ່ນຄ້າຍຄືກັນ, ຫຼາຍຄ່າພາກສະຫນາມໄດ້ຖືກປັບປຸງຈາກທີ່ສະແດງຢູ່ໃນ ບົດລາຍງານເກົ່າຂອງພວກເຮົາ.

ອົງປະກອບທໍາອິດຂອງ binary array ມີ DLL (HttpProv.dll MD5: 2559738D1BD4A999126F900C7357B759), ກໍານົດໂດຍ Tencent. ແຕ່ເນື່ອງຈາກຊື່ການສົ່ງອອກໄດ້ຖືກໂຍກຍ້າຍອອກຈາກຖານສອງ, hashes ບໍ່ກົງກັນ.

ການຄົ້ນຄວ້າເພີ່ມເຕີມ

ໃນຂະນະທີ່ເກັບຕົວຢ່າງ, ພວກເຮົາສັງເກດເຫັນບາງລັກສະນະ. ຕົວຢ່າງທີ່ຫາກໍອະທິບາຍໄດ້ປະກົດຂຶ້ນປະມານເດືອນກໍລະກົດ 2018, ແລະອັນອື່ນໆທີ່ມັນປາກົດເມື່ອບໍ່ດົນມານີ້ໃນກາງເດືອນມັງກອນຫາຕົ້ນເດືອນກຸມພາ 2019. ຮວບຮວມ SFX ຖືກນໍາໃຊ້ເປັນ vector ການຕິດເຊື້ອ, ຖິ້ມເອກະສານປອມທີ່ຖືກຕ້ອງແລະໄຟລ໌ OSX ທີ່ເປັນອັນຕະລາຍ.

ເຖິງແມ່ນວ່າ OceanLotus ໃຊ້ເວລາປອມ, ພວກເຮົາສັງເກດເຫັນວ່າເວລາຂອງໄຟລ໌ SFX ແລະ OCX ແມ່ນຄືກັນ (0x57B0C36A (08/14/2016 @ 7:15pm UTC) ແລະ 0x498BE80F (02/06/2009 @ 7:34am UTC) ຕາມລໍາດັບ). ນີ້ອາດຈະຊີ້ໃຫ້ເຫັນວ່າຜູ້ຂຽນມີບາງປະເພດຂອງ "ຜູ້ອອກແບບ" ທີ່ໃຊ້ແມ່ແບບດຽວກັນແລະພຽງແຕ່ປ່ຽນຄຸນລັກສະນະບາງຢ່າງ.

ໃນບັນດາເອກະສານທີ່ພວກເຮົາໄດ້ສຶກສານັບຕັ້ງແຕ່ຕົ້ນປີ 2018, ມີຊື່ຕ່າງໆທີ່ຊີ້ບອກປະເທດທີ່ສົນໃຈຜູ້ໂຈມຕີ:

— ຂໍ້ມູນການຕິດຕໍ່ໃຫມ່ຂອງກໍາປູເຈຍ Media(New).xls.exe
— 李建香 (个人简历).exe (ເອກະສານ pdf ປອມຂອງ CV)
— ຄໍາຄຶດຄໍາເຫັນ, Rally ໃນອາເມລິກາຈາກເດືອນກໍລະກົດ 28-29, 2018.exe

ນັບຕັ້ງແຕ່ backdoor ໄດ້ຄົ້ນພົບ {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll ແລະການພິມເຜີຍແຜ່ການວິເຄາະຂອງມັນໂດຍນັກຄົ້ນຄວ້າຫຼາຍໆຄົນ, ພວກເຮົາໄດ້ສັງເກດເຫັນການປ່ຽນແປງບາງຢ່າງໃນຂໍ້ມູນການຕັ້ງຄ່າ malware.

ກ່ອນອື່ນ ໝົດ, ຜູ້ຂຽນໄດ້ເລີ່ມເອົາຊື່ອອກຈາກຜູ້ຊ່ວຍ DLLs (DNSprov.dll ແລະສອງສະບັບ HttpProv.dll). ຫຼັງຈາກນັ້ນ, ຜູ້ປະກອບການຢຸດເຊົາການຫຸ້ມຫໍ່ DLL ທີສາມ (ສະບັບທີສອງ HttpProv.dll), ເລືອກທີ່ຈະຝັງພຽງແຕ່ຫນຶ່ງ.

ອັນທີສອງ, ຫຼາຍໆຊ່ອງຂໍ້ມູນການຕັ້ງຄ່າ backdoor ໄດ້ຖືກປ່ຽນແປງ, ອາດຈະຫລີກລ້ຽງການກວດພົບຍ້ອນວ່າມີ IoCs ຫຼາຍອັນ. ຊ່ອງຂໍ້ມູນທີ່ສໍາຄັນທີ່ຖືກດັດແກ້ໂດຍຜູ້ຂຽນປະກອບມີ:

ປ່ຽນລະຫັດການລົງທະບຽນ AppX (ເບິ່ງ IoCs)
mutex encoding string ("def", "abc", "ghi")
ໝາຍເລກຜອດ

ສຸດທ້າຍ, ສະບັບໃຫມ່ທັງຫມົດທີ່ຖືກວິເຄາະມີ C&Cs ໃຫມ່ທີ່ມີລາຍຊື່ຢູ່ໃນພາກ IoCs.

ການຄົ້ນພົບ

OceanLotus ສືບຕໍ່ພັດທະນາ. ກຸ່ມ cyber ແມ່ນສຸມໃສ່ການປັບປຸງແລະຂະຫຍາຍເຄື່ອງມືແລະ baits. ຜູ້ຂຽນປອມແປງການໂຫຼດທີ່ເປັນອັນຕະລາຍໂດຍໃຊ້ເອກະສານທີ່ດຶງດູດຄວາມສົນໃຈເຊິ່ງຫົວຂໍ້ກ່ຽວຂ້ອງກັບຜູ້ເຄາະຮ້າຍທີ່ມີຈຸດປະສົງ. ພວກເຂົາພັດທະນາໂຄງການໃຫມ່ແລະຍັງໃຊ້ເຄື່ອງມືທີ່ມີສາທາລະນະເຊັ່ນ Equation Editor exploit. ຍິ່ງໄປກວ່ານັ້ນ, ພວກເຂົາເຈົ້າກໍາລັງປັບປຸງເຄື່ອງມືເພື່ອຫຼຸດຜ່ອນຈໍານວນຂອງສິ່ງປະດິດທີ່ຍັງເຫຼືອຢູ່ໃນເຄື່ອງຂອງຜູ້ຖືກເຄາະຮ້າຍ, ດັ່ງນັ້ນການຫຼຸດຜ່ອນໂອກາດຂອງການກວດສອບໂດຍຊອບແວ antivirus.