🥇ESET: OceanLotus सायबर गटासाठी नवीन बॅकडोअर वितरण योजना

या पोस्टमध्ये आम्ही तुम्हाला सांगू की सायबर ग्रुप OceanLotus (APT32 आणि APT-C-00) ने अलीकडेच सार्वजनिकरीत्या उपलब्ध शोषणांपैकी एक कसा वापरला सीव्हीई- 2017-11882, मायक्रोसॉफ्ट ऑफिसमधील मेमरी करप्शन असुरक्षा आणि ग्रुपचे मालवेअर तडजोड केलेल्या सिस्टीमवर एकही ट्रेस न सोडता कसे टिकून राहते. पुढे, आम्ही वर्णन करू की, 2019 च्या सुरुवातीपासून, गट कोड रन करण्यासाठी सेल्फ-एक्सट्रॅक्टिंग आर्काइव्हचा कसा वापर करत आहे.

OceanLotus सायबर हेरगिरीमध्ये माहिर आहे, ज्याचे प्राधान्य लक्ष्य दक्षिणपूर्व आशियातील देश आहेत. हल्लेखोर असे दस्तऐवज बनवतात जे संभाव्य पीडितांचे लक्ष वेधून घेतात आणि त्यांना बॅकडोअर अंमलात आणण्यासाठी पटवून देतात आणि साधने विकसित करण्यावर देखील काम करतात. हनीपॉट्स तयार करण्यासाठी वापरल्या जाणार्‍या पद्धती आक्रमणांमध्ये भिन्न असतात, “डबल-एक्सटेन्शन” फाइल्स, सेल्फ-एक्सट्रैक्टिंग आर्काइव्ह, मॅक्रोसह दस्तऐवज, ज्ञात शोषणांपर्यंत.

मायक्रोसॉफ्ट इक्वेशन एडिटरमध्ये शोषण वापरणे

2018 च्या मध्यात, OceanLotus ने CVE-2017-11882 असुरक्षिततेचे शोषण करणारी मोहीम चालवली. सायबर ग्रुपच्या दुर्भावनापूर्ण दस्तऐवजांपैकी एकाचे विश्लेषण 360 थ्रेट इंटेलिजेंस सेंटर (चीनी मध्ये संशोधन), शोषणाच्या तपशीलवार वर्णनासह. खालील पोस्टमध्ये अशा दुर्भावनापूर्ण दस्तऐवजाचे विहंगावलोकन आहे.

पहिला टप्पा

कागदपत्र FW Report on demonstration of former CNRP in Republic of Korea.doc (SHA-1: D1357B284C951470066AAA7A8228190B88A5C7C3) वरील अभ्यासात नमूद केल्याप्रमाणे आहे. हे मनोरंजक आहे कारण ते कंबोडियन राजकारणात स्वारस्य असलेल्या वापरकर्त्यांसाठी आहे (CNRP - कंबोडिया नॅशनल रेस्क्यू पार्टी, 2017 च्या शेवटी विसर्जित). .doc विस्तार असूनही, दस्तऐवज RTF फॉरमॅटमध्ये आहे (खालील चित्र पहा), त्यात कचरा कोड आहे आणि तो विकृत देखील आहे.

आकृती 1. RTF मध्ये "कचरा".

जरी विस्कळीत घटक असले तरी, Word ही RTF फाइल यशस्वीरित्या उघडते. तुम्ही आकृती 2 मध्ये पाहू शकता, ऑफसेट 0xC00 वर एक EQNOLEFILEHDR रचना आहे, त्यानंतर MTEF शीर्षलेख आणि नंतर फॉन्टसाठी MTEF एंट्री (आकृती 3) आहे.

आकृती 2. फॉन्ट प्रविष्टी मूल्ये

आकृती 3. फॉन्ट रेकॉर्डिंग स्वरूप

शेतात संभाव्य ओव्हरफ्लो नाव, कारण कॉपी करण्यापूर्वी त्याचा आकार तपासला जात नाही. खूप लांब असलेले नाव एक असुरक्षा ट्रिगर करते. तुम्ही आरटीएफ फाईलच्या सामुग्रीवरून पाहू शकता (आकृती 0 मधील 26xC2 ऑफसेट), बफर शेलकोडने भरलेला आहे त्यानंतर डमी कमांड (0x90) आणि परतीचा पत्ता 0x402114. पत्ता हा एक संवाद घटक आहे EQNEDT32.exe, निर्देश दर्शवित आहे RET. यामुळे EIP फील्डच्या सुरूवातीस सूचित करते नावशेलकोड असलेले.

आकृती 4. शोषण शेलकोडची सुरुवात

पत्ता 0x45BD3C सध्या लोड केलेल्या स्ट्रक्चरला पॉइंटरपर्यंत पोहोचेपर्यंत डिरेफरन्स केलेले व्हेरिएबल स्टोअर करते MTEFData. उर्वरित शेलकोड येथे आहे.

शेलकोडचा उद्देश खुल्या दस्तऐवजात एम्बेड केलेला शेलकोडचा दुसरा भाग कार्यान्वित करणे हा आहे. मूळ शेलकोड प्रथम सर्व सिस्टम वर्णनकर्त्यांवर पुनरावृत्ती करून ओपन डॉक्युमेंटचे फाइल डिस्क्रिप्टर शोधण्याचा प्रयत्न करतो (NtQuerySystemInformation युक्तिवाद सह SystemExtendedHandleInformation) आणि ते जुळतात का ते तपासत आहे पी आय डी वर्णनकर्ता आणि पी आय डी प्रक्रिया WinWord आणि दस्तऐवज ऍक्सेस मास्कने उघडले होते की नाही - 0x12019F.

योग्य हँडल सापडले आहे याची पुष्टी करण्यासाठी (आणि दुसर्‍या खुल्या दस्तऐवजाचे हँडल नाही), फंक्शन वापरून फाइलमधील सामग्री प्रदर्शित केली जाते. CreateFileMapping, आणि शेलकोड दस्तऐवजाचे शेवटचे चार बाइट जुळतात की नाही हे तपासतो "yyyy"(अंडी शिकार पद्धत). एकदा जुळणी सापडल्यानंतर, कागदपत्र तात्पुरत्या फोल्डरमध्ये कॉपी केले जाते (GetTempPath) कसे ole.dll. मग दस्तऐवजाचे शेवटचे 12 बाइट्स वाचले जातात.

आकृती 5. दस्तऐवज मार्करचा शेवट

मार्कर दरम्यान 32-बिट मूल्य AABBCCDD и yyyy पुढील शेलकोडचा ऑफसेट आहे. त्याला फंक्शन वापरून म्हणतात CreateThread. पूर्वी OceanLotus गटाने वापरला होता तोच शेलकोड काढला. पायथन इम्युलेशन स्क्रिप्ट, जे आम्ही मार्च 2018 मध्ये रिलीज केले होते, ते अजूनही दुसऱ्या टप्प्यातील डंपसाठी कार्य करते.

दुसरा टप्पा

घटक काढून टाकत आहे

फाइल आणि डिरेक्टरी नावे डायनॅमिकली निवडली जातात. कोड यादृच्छिकपणे एक्झिक्युटेबल किंवा DLL फाइलचे नाव निवडतो C:Windowssystem32. ते नंतर त्याच्या संसाधनांना विनंती करते आणि फील्ड पुनर्प्राप्त करते FileDescription फोल्डर नाव म्हणून वापरण्यासाठी. हे कार्य करत नसल्यास, कोड यादृच्छिकपणे निर्देशिकांमधून फोल्डरचे नाव निवडतो %ProgramFiles% किंवा C:Windows (GetWindowsDirectoryW कडून). हे विद्यमान फायलींशी विरोधाभास असणारे नाव वापरणे टाळते आणि त्यात खालील शब्द नसल्याची खात्री करते: windows, Microsoft, desktop, system, system32 किंवा syswow64. निर्देशिका आधीपासून अस्तित्वात असल्यास, "NLS_{6 वर्ण}" नावाला जोडले जाते.

संसाधन 0x102 विश्लेषण केले जाते आणि फाईल्स टाकल्या जातात %ProgramFiles% किंवा %AppData%, यादृच्छिकपणे निवडलेल्या फोल्डरमध्ये. सारखीच मूल्ये ठेवण्यासाठी निर्मितीची वेळ बदलली kernel32.dll.

उदाहरणार्थ, येथे एक्झिक्युटेबल निवडून तयार केलेल्या फाईल्सची फोल्डर आणि सूची आहे C:Windowssystem32TCPSVCS.exe डेटा स्रोत म्हणून.

आकृती 6. विविध घटक काढणे

संसाधन रचना 0x102 ड्रॉपर मध्ये खूप जटिल आहे. थोडक्यात, त्यात समाविष्ट आहे:
- फाइल नावे
- फाइल आकार आणि सामग्री
- कॉम्प्रेशन फॉरमॅट (COMPRESSION_FORMAT_LZNT1, फंक्शनद्वारे वापरले जाते RtlDecompressBuffer)

पहिली फाइल म्हणून रीसेट केली आहे TCPSVCS.exe, जे कायदेशीर आहे AcroTranscoder.exe (नुसार FileDescription, SHA-1: 2896738693A8F36CC7AD83EF1FA46F82F32BE5A3).

तुमच्या लक्षात आले असेल की काही DLL फाईल्स 11 MB पेक्षा मोठ्या आहेत. याचे कारण असे की एक्झिक्युटेबल फाइलमध्ये यादृच्छिक डेटाचा एक मोठा संलग्न बफर ठेवला जातो. हे शक्य आहे की काही सुरक्षा उत्पादनांद्वारे शोध टाळण्याचा हा एक मार्ग आहे.

चिकाटी सुनिश्चित करणे

संसाधन 0x101 ड्रॉपरमध्ये दोन 32-बिट पूर्णांक असतात जे स्थिरता कशी प्रदान करावी हे निर्दिष्ट करतात. प्रशासक अधिकारांशिवाय मालवेअर कसे टिकून राहील हे पहिल्याचे मूल्य निर्दिष्ट करते.

तक्ता 1. प्रशासक अधिकारांशिवाय सक्तीची यंत्रणा

दुसर्‍या पूर्णांकाचे मूल्य प्रशासक अधिकारांसह चालत असताना मालवेअरने स्थिरता कशी मिळवावी हे निर्दिष्ट करते.

तक्ता 2. प्रशासक अधिकारांसह चिकाटीची यंत्रणा

सेवा नाव विस्ताराशिवाय फाइल नाव आहे; डिस्प्ले नाव हे फोल्डरचे नाव आहे, परंतु जर ते आधीपासून अस्तित्वात असेल, तर त्याला “ स्ट्रिंग जोडली जातेRevision 1” (न वापरलेले नाव सापडेपर्यंत संख्या वाढते). ऑपरेटर्सनी खात्री केली की सेवेद्वारे चिकाटी मजबूत आहे - अयशस्वी झाल्यास, सेवा 1 सेकंदानंतर पुन्हा सुरू करावी. मग मूल्य WOW64 नवीन सेवेची नोंदणी की 4 वर सेट केली आहे, ती 32-बिट सेवा असल्याचे दर्शवते.

शेड्यूल केलेले कार्य अनेक COM इंटरफेसद्वारे तयार केले जाते: ITaskScheduler, ITask, ITaskTrigger, IPersistFile и ITaskScheduler. मूलत:, मालवेअर एक लपलेले कार्य तयार करतो, वर्तमान वापरकर्ता किंवा प्रशासकाच्या माहितीसह खाते माहिती सेट करतो आणि नंतर ट्रिगर सेट करतो.

हे दैनंदिन कार्य आहे ज्याचा कालावधी 24 तासांचा आहे आणि 10 मिनिटांच्या दोन अंमलबजावणी दरम्यान मध्यांतर आहे, याचा अर्थ असा आहे की तो सतत चालू राहील.

दुर्भावनापूर्ण बिट

आमच्या उदाहरणात, एक्झिक्युटेबल फाइल TCPSVCS.exe (AcroTranscoder.exe) हे कायदेशीर सॉफ्टवेअर आहे जे त्याच्यासोबत रीसेट केलेले DLL लोड करते. या प्रकरणात, ते स्वारस्य आहे Flash Video Extension.dll.

त्याचे कार्य DLLMain फक्त दुसरे फंक्शन कॉल करते. काही अस्पष्ट अंदाज उपस्थित आहेत:

आकृती 7. अस्पष्ट अंदाज

या दिशाभूल करणाऱ्या तपासण्यांनंतर, कोडला एक विभाग मिळतो .text फाइल TCPSVCS.exe, मध्ये त्याचे संरक्षण बदलते PAGE_EXECUTE_READWRITE आणि डमी सूचना जोडून ते पुन्हा लिहितो:

आकृती 8. सूचनांचा क्रम

शेवटी फंक्शन अॅड्रेस FLVCore::Uninitialize(void), निर्यात केले Flash Video Extension.dll, सूचना जोडली आहे CALL. याचा अर्थ असा की दुर्भावनापूर्ण DLL लोड झाल्यानंतर, जेव्हा रनटाइम कॉल केला जातो WinMain в TCPSVCS.exe, सूचना पॉइंटर NOP कडे निर्देश करेल, ज्यामुळे FLVCore::Uninitialize(void), पुढील टप्पा.

फंक्शन फक्त एक म्यूटेक्स तयार करते ज्यापासून सुरुवात होते {181C8480-A975-411C-AB0A-630DB8B0A221}त्यानंतर वर्तमान वापरकर्तानाव. ते नंतर डंप केलेली *.db3 फाईल वाचते, ज्यामध्ये स्थिती-स्वतंत्र कोड असतो आणि वापरतो CreateThread सामग्री कार्यान्वित करण्यासाठी.

*.db3 फाइलची सामग्री हा शेलकोड आहे जो OceanLotus गट सामान्यतः वापरतो. आम्ही प्रकाशित केलेल्या एमुलेटर स्क्रिप्टचा वापर करून आम्ही त्याचे पेलोड पुन्हा यशस्वीरित्या अनपॅक केले GitHub वर.

स्क्रिप्ट अंतिम टप्पा काढते. हा घटक बॅकडोअर आहे, ज्याचे आम्ही आधीच विश्लेषण केले आहे मागील OceanLotus अभ्यास. हे GUID द्वारे निश्चित केले जाऊ शकते {A96B020F-0000-466F-A96D-A91BBF8EAC96} बायनरी फाइल. मालवेअर कॉन्फिगरेशन अजूनही PE संसाधनामध्ये कूटबद्ध केलेले आहे. यात अंदाजे समान कॉन्फिगरेशन आहे, परंतु C&C सर्व्हर मागील सर्व्हरपेक्षा वेगळे आहेत:

- andreagahuvrauvin[.]com - byronorenstein[.]com - stienollmache[.]xyz

OceanLotus टीम पुन्हा तपास टाळण्यासाठी विविध तंत्रांचे संयोजन दाखवते. ते संक्रमण प्रक्रियेच्या "परिष्कृत" आकृतीसह परत आले. यादृच्छिक नावे निवडून आणि यादृच्छिक डेटासह एक्झिक्युटेबल भरून, ते विश्वसनीय IoC ची संख्या कमी करतात (हॅश आणि फाइल नावांवर आधारित). शिवाय, थर्ड-पार्टी डीएलएल लोडिंगचा वापर केल्याबद्दल धन्यवाद, आक्रमणकर्त्यांना फक्त कायदेशीर बायनरी काढण्याची आवश्यकता आहे AcroTranscoder.

सेल्फ-अर्काइव्ह्ज

RTF फायलींनंतर, वापरकर्त्याला आणखी गोंधळात टाकण्यासाठी गट सामान्य दस्तऐवज चिन्हांसह सेल्फ-एक्सट्रॅक्टिंग (SFX) आर्काइव्हमध्ये गेला. धमकी पुस्तकात याबद्दल लिहिले आहे (चीनी मध्ये दुवा). लाँच केल्यावर, सेल्फ-एक्स्ट्रॅक्टिंग RAR फाइल्स टाकल्या जातात आणि .ocx विस्तारासह DLL कार्यान्वित केले जातात, ज्याचा अंतिम पेलोड पूर्वी दस्तऐवजीकरण केला गेला आहे. {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll. जानेवारी 2019 च्या मध्यापासून, OceanLotus हे तंत्र पुन्हा वापरत आहे, परंतु कालांतराने काही कॉन्फिगरेशन बदलत आहे. या विभागात आपण तंत्र आणि बदल याबद्दल बोलू.

एक आमिष तयार करणे

कागदपत्र THICH-THONG-LAC-HANH-THAP-THIEN-VIET-NAM (1).EXE (SHA-1: AC10F5B1D5ECAB22B7B418D6E98FA18E32BBDEAB) प्रथम 2018 मध्ये सापडले. ही SFX फाईल हुशारीने तयार केली गेली - वर्णनात (आवृत्ती माहिती) हे जेपीईजी प्रतिमा आहे असे म्हणतात. SFX स्क्रिप्ट असे दिसते:

आकृती 9. SFX आदेश

मालवेअर रीसेट होते {9ec60ada-a200-4159-b310-8071892ed0c3}.ocx (SHA-1: EFAC23B0E6395B1178BCF7086F72344B24C04DCC), तसेच एक चित्र 2018 thich thong lac.jpg.

डिकोय इमेज असे दिसते:

आकृती 10. डिकॉय इमेज

तुमच्या लक्षात आले असेल की SFX स्क्रिप्टमधील पहिल्या दोन ओळी OCX फाइलला दोनदा कॉल करतात, परंतु ही त्रुटी नाही.

{9ec60ada-a200-4159-b310-8071892ed0c3}.ocx (ShLd.dll)

OCX फाइलचा नियंत्रण प्रवाह इतर OceanLotus घटकांसारखाच असतो - अनेक कमांड सीक्वेन्स JZ/JNZ и PUSH/RET, कचरा कोड सह alternating.

आकृती 11. अस्पष्ट कोड

जंक कोड फिल्टर केल्यानंतर, निर्यात करा DllRegisterServer, म्हणतात regsvr32.exe, पुढीलप्रमाणे:

आकृती 12. मूलभूत इंस्टॉलर कोड

मुळात, पहिल्या कॉलवर DllRegisterServer निर्यात रेजिस्ट्री मूल्य सेट करते HKCUSOFTWAREClassesCLSID{E08A0F4B-1F65-4D4D-9A09-BD4625B9C5A1}Model DLL मध्ये एनक्रिप्टेड ऑफसेटसाठी (0x10001DE0).

जेव्हा फंक्शनला दुसऱ्यांदा कॉल केले जाते, तेव्हा ते समान मूल्य वाचते आणि त्या पत्त्यावर कार्यान्वित होते. येथून संसाधने आणि RAM मधील अनेक क्रिया वाचल्या जातात आणि कार्यान्वित केल्या जातात.

शेलकोड मागील OceanLotus मोहिमांमध्ये वापरलेला समान PE लोडर आहे. हे वापरून अनुकरण केले जाऊ शकते आमची स्क्रिप्ट. शेवटी तो रिसेट होतो db293b825dcc419ba7dc2c49fa2757ee.dll, ते मेमरीमध्ये लोड करते आणि कार्यान्वित होते DllEntry.

DLL त्याच्या संसाधनातील सामग्री काढते, डिक्रिप्ट करते (AES-256-CBC) आणि डीकंप्रेस करते (LZMA). संसाधनाचे विशिष्ट स्वरूप आहे जे विघटित करणे सोपे आहे.

आकृती 13. इंस्टॉलर कॉन्फिगरेशन संरचना (KaitaiStruct Visualizer)

कॉन्फिगरेशन स्पष्टपणे निर्दिष्ट केले आहे - विशेषाधिकार स्तरावर अवलंबून, बायनरी डेटा यावर लिहिला जाईल %appdata%IntellogsBackgroundUploadTask.cpl किंवा %windir%System32BackgroundUploadTask.cpl (किंवा SysWOW64 64-बिट सिस्टमसाठी).

नावासह कार्य तयार करून पुढील दृढता सुनिश्चित केली जाते BackgroundUploadTask[junk].jobकुठे [junk] बाइट्सचा संच दर्शवतो 0x9D и 0xA0.

कार्य अर्जाचे नाव %windir%System32control.exe, आणि पॅरामीटर मूल्य डाउनलोड केलेल्या बायनरी फाइलचा मार्ग आहे. छुपे कार्य दररोज चालते.

संरचनात्मकदृष्ट्या, CPL फाइल ही अंतर्गत नाव असलेली DLL असते ac8e06de0a6c4483af9837d96504127e.dll, जे फंक्शन निर्यात करते CPlApplet. ही फाईल तिचा एकमेव स्त्रोत डिक्रिप्ट करते {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll, नंतर हा DLL लोड करतो आणि त्याचा एकमेव निर्यात कॉल करतो DllEntry.

मागील दरवाजा कॉन्फिगरेशन फाइल

बॅकडोअर कॉन्फिगरेशन एन्क्रिप्ट केलेले आहे आणि त्याच्या संसाधनांमध्ये एम्बेड केलेले आहे. कॉन्फिगरेशन फाइलची रचना मागील प्रमाणेच आहे.

आकृती 14. बॅकडोअर कॉन्फिगरेशन स्ट्रक्चर (KaitaiStruct Visualizer)

जरी रचना समान असली तरी, अनेक फील्ड मूल्ये मध्ये दर्शविलेल्यांमधून अद्यतनित केली गेली आहेत आमचा जुना अहवाल.

बायनरी अॅरेच्या पहिल्या घटकामध्ये DLL (HttpProv.dll MD5: 2559738D1BD4A999126F900C7357B759), Tencent द्वारे ओळखले जाते. परंतु निर्यातीचे नाव बायनरीमधून काढून टाकले असल्याने, हॅश जुळत नाहीत.

अतिरिक्त संशोधन

नमुने गोळा करताना, आम्हाला काही वैशिष्ट्ये लक्षात आली. नुकतेच वर्णन केलेले नमुने जुलै 2018 च्या आसपास दिसले आणि त्यासारखे इतर नुकतेच जानेवारीच्या मध्यापासून ते फेब्रुवारी 2019 च्या सुरुवातीस दिसले. SFX आर्काइव्हचा वापर संसर्ग वेक्टर म्हणून केला गेला, कायदेशीर डिकॉय दस्तऐवज आणि दुर्भावनापूर्ण OSX फाइल टाकून.

जरी OceanLotus बनावट टाइमस्टॅम्प वापरत असले तरी, आमच्या लक्षात आले की SFX आणि OCX फाइल्सचे टाइमस्टॅम्प नेहमी सारखे असतात (0x57B0C36A (08/14/2016 @ 7:15pm UTC) आणि 0x498BE80F (02/06/2009 @ 7:34am UTC) अनुक्रमे). हे कदाचित असे सूचित करते की लेखकांकडे काही प्रकारचे "डिझायनर" आहेत जे समान टेम्पलेट वापरतात आणि काही वैशिष्ट्ये बदलतात.

2018 च्या सुरुवातीपासून आम्ही अभ्यास केलेल्या कागदपत्रांमध्ये, हल्लेखोरांना स्वारस्य असलेल्या देशांना सूचित करणारी विविध नावे आहेत:

— कंबोडिया मीडियाची नवीन संपर्क माहिती(New).xls.exe
— 李建香 (个人简历).exe (CV चे बनावट पीडीएफ दस्तऐवज)
— फीडबॅक, यूएसए मधील रॅली 28-29 जुलै 2018.exe

मागच्या दाराचा शोध लागला तेव्हापासून {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll आणि अनेक संशोधकांनी केलेल्या विश्लेषणाचे प्रकाशन, आम्ही मालवेअर कॉन्फिगरेशन डेटामध्ये काही बदल पाहिले.

प्रथम, लेखकांनी हेल्पर डीएलएलमधून नावे काढण्यास सुरुवात केली (DNSprov.dll आणि दोन आवृत्त्या HttpProv.dll). त्यानंतर ऑपरेटरने तिसरा DLL (दुसरी आवृत्ती HttpProv.dll), फक्त एक एम्बेड करणे निवडणे.

दुसरे म्हणजे, अनेक बॅकडोअर कॉन्फिगरेशन फील्ड बदलले गेले, अनेक IoC उपलब्ध झाल्यामुळे ते शोधणे टाळण्याची शक्यता आहे. लेखकांनी सुधारित केलेल्या महत्त्वाच्या फील्डमध्ये हे समाविष्ट आहे:

AppX रेजिस्ट्री की बदलली (IoCs पहा)
म्यूटेक्स एन्कोडिंग स्ट्रिंग ("def", "abc", "ghi")
पोर्ट क्रमांक

शेवटी, विश्लेषण केलेल्या सर्व नवीन आवृत्त्यांमध्ये नवीन C&Cs IoCs विभागात सूचीबद्ध आहेत.

निष्कर्ष

OceanLotus विकसित होत आहे. सायबर ग्रुप टूल्स आणि डेकोईजचे शुद्धीकरण आणि विस्तार करण्यावर लक्ष केंद्रित करते. लेखक लक्ष वेधून घेणार्‍या दस्तऐवजांचा वापर करून दुर्भावनापूर्ण पेलोड्स वेष करतात ज्याचा विषय इच्छित पीडितांशी संबंधित आहे. ते नवीन योजना विकसित करतात आणि सार्वजनिकरीत्या उपलब्ध साधनांचा वापर करतात, जसे की समीकरण संपादक शोषण. शिवाय, ते पीडितांच्या मशीनवर शिल्लक असलेल्या कलाकृतींची संख्या कमी करण्यासाठी साधने सुधारत आहेत, ज्यामुळे अँटीव्हायरस सॉफ्टवेअरद्वारे शोधण्याची शक्यता कमी होते.

तडजोडीचे संकेतक

तडजोडीचे संकेतक तसेच MITER ATT&CK विशेषता उपलब्ध आहेत वेलिव्ह सिक्युरिटी वर и GitHub वर.

स्त्रोत: www.habr.com

ESET: OceanLotus सायबर गटासाठी नवीन बॅकडोअर वितरण योजना