🥇ESET: OceanLotus साइबर समूहको लागि नयाँ ब्याकडोर डेलिभरी योजनाहरू

यस पोष्टमा हामी तपाईंलाई साइबर समूह OceanLotus (APT32 र APT-C-00) ले हालसालै सार्वजनिक रूपमा उपलब्ध शोषणहरू मध्ये एउटा कसरी प्रयोग गर्‍यो भनेर बताउनेछौं। CVE-2017-11882, माइक्रोसफ्ट अफिसमा मेमोरी भ्रष्टाचार कमजोरीहरू, र कसरी समूहको मालवेयरले कुनै ट्रेस नछोडिकन सम्झौता प्रणालीहरूमा दृढता प्राप्त गर्दछ। अर्को, हामी वर्णन गर्नेछौं कि कसरी, 2019 को सुरुदेखि, समूहले कोड चलाउनको लागि सेल्फ-एक्स्ट्र्याक्ट गर्ने अभिलेखहरू प्रयोग गरिरहेको छ।

OceanLotus साइबर जासुसी मा विशेषज्ञता, प्राथमिकता लक्ष्य दक्षिण पूर्व एशिया मा देशहरु संग। आक्रमणकारीहरूले कागजातहरू किर्ते जसले सम्भावित पीडितहरूको ध्यान आकर्षित गर्न उनीहरूलाई ब्याकडोर कार्यान्वयन गर्न मनाउन, र उपकरणहरू विकास गर्ने काममा पनि काम गरिरहेका छन्। हनीपोटहरू सिर्जना गर्न प्रयोग गरिएका विधिहरू आक्रमणहरूमा भिन्न हुन्छन्, "डबल-एक्सटेन्सन" फाइलहरू, सेल्फ-अर्काइभहरू, म्याक्रोहरूसँग कागजातहरू, ज्ञात शोषणहरू सम्म।

Microsoft समीकरण सम्पादकमा शोषण प्रयोग गर्दै

2018 को मध्यमा, OceanLotus ले CVE-2017-11882 जोखिमको शोषण गर्ने अभियान सञ्चालन गर्यो। साइबर समूहको एक खराब कागजातहरू 360 थ्रेट इन्टेलिजेन्स सेन्टरका विशेषज्ञहरूद्वारा विश्लेषण गरिएको थियो।चिनियाँ मा अनुसन्धानशोषणको विस्तृत विवरण सहित। तलको पोष्टमा यस्तो खराब कागजातको एक सिंहावलोकन समावेश छ।

पहिलो चरण

कागजात FW Report on demonstration of former CNRP in Republic of Korea.doc (SHA-1: D1357B284C951470066AAA7A8228190B88A5C7C3माथिको अध्ययनमा उल्लेख गरिएको जस्तै छ। यो रोचक छ किनभने यो कम्बोडियन राजनीति (CNRP - कम्बोडिया राष्ट्रिय उद्धार पार्टी, 2017 को अन्त्यमा भंग भएको) मा रुचि राख्ने प्रयोगकर्ताहरूलाई लक्षित गरिएको छ। .doc विस्तारको बावजुद, कागजात RTF ढाँचामा छ (तलको चित्र हेर्नुहोस्), यसमा फोहोर कोड समावेश छ, र विकृत पनि छ।

चित्र 1. RTF मा "फोहोर"

यद्यपि त्यहाँ विकृत तत्वहरू छन्, Word ले यो RTF फाइल सफलतापूर्वक खोल्छ। तपाईंले चित्र 2 मा देख्न सक्नुहुन्छ, त्यहाँ अफसेट 0xC00 मा EQNOLEFILEHDR संरचना छ, त्यसपछि MTEF हेडर, र त्यसपछि फन्टको लागि MTEF प्रविष्टि (चित्र 3)।

चित्र 2. FONT प्रविष्टि मानहरू

चित्रा 3। FONT रेकर्डिङ ढाँचा

फिल्डमा सम्भावित ओभरफ्लो नाम, किनभने प्रतिलिपि गर्नु अघि यसको आकार जाँच गरिएको छैन। धेरै लामो भएको नामले कमजोरीलाई ट्रिगर गर्छ। तपाईले RTF फाइलको सामग्रीबाट देख्न सक्नुहुन्छ (चित्र 0 मा 26xC2 अफसेट), बफर शेलकोडले भरिएको छ पछि डमी आदेश (0x90) र फिर्ता ठेगाना 0x402114। ठेगाना एक संवाद तत्व हो EQNEDT32.exe, निर्देशनहरू संकेत गर्दै RET। यसले EIP लाई क्षेत्रको सुरुमा संकेत गर्छ नामशेलकोड समावेश।

चित्र ४. शोषण शेलकोडको सुरुवात

ठेगाना 0x45BD3C हालको लोड गरिएको संरचनामा सूचकमा नपुग्दासम्म एउटा चर भण्डारण गर्दछ जुन dereferenced हुन्छ MTEFData। बाँकी शेलकोड यहाँ छ।

शेलकोडको उद्देश्य खुला कागजातमा इम्बेड गरिएको शेलकोडको दोस्रो टुक्रा कार्यान्वयन गर्नु हो। मूल शेलकोडले सबै प्रणाली वर्णनकर्ताहरू (NtQuerySystemInformation तर्क संग SystemExtendedHandleInformation) र तिनीहरू मेल खाएमा जाँच गर्दै पीआईडी वर्णनकर्ता र पीआईडी प्रक्रिया WinWord र कागजात पहुँच मास्कको साथ खोलिएको थियो कि छैन - 0x12019F.

सही ह्यान्डल फेला परेको छ भनी पुष्टि गर्न (र अर्को खुला कागजातमा ह्यान्डल होइन), फाईलका सामग्रीहरू प्रकार्य प्रयोग गरेर प्रदर्शित हुन्छन्। CreateFileMapping, र शेलकोडले कागजातको अन्तिम चार बाइटहरू मेल खान्छ कि भनेर जाँच गर्छ "yyyy"(अण्डा शिकार विधि)। एक पटक मिल्दो फेला परेपछि, कागजातलाई अस्थायी फोल्डरमा प्रतिलिपि गरिन्छ (GetTempPath) कसरी ole.dll। त्यसपछि कागजातको अन्तिम १२ बाइटहरू पढिन्छन्।

चित्र 5. कागजात मार्करहरूको अन्त्य

मार्करहरू बीच 32-बिट मान AABBCCDD и yyyy अर्को शेलकोडको अफसेट हो। यसलाई प्रकार्य प्रयोग गरेर भनिन्छ CreateThread। OceanLotus समूहले पहिले प्रयोग गरेको उही शेलकोड निकालियो। पाइथन इमुलेशन लिपि, जुन हामीले मार्च 2018 मा जारी गर्यौं, अझै पनि दोस्रो चरणको डम्पको लागि काम गर्दछ।

दोस्रो चरण

अवयवहरू हटाउँदै

फाइल र डाइरेक्टरी नामहरू गतिशील रूपमा चयन गरिन्छ। कोडले अनियमित रूपमा कार्यान्वयन योग्य वा DLL फाइलको नाम चयन गर्दछ C:Windowssystem32। त्यसपछि यसले आफ्नो स्रोतहरूलाई अनुरोध गर्दछ र क्षेत्र पुन: प्राप्त गर्दछ FileDescription फोल्डर नामको रूपमा प्रयोग गर्न। यदि यसले काम गर्दैन भने, कोडले अनियमित रूपमा डाइरेक्टरीहरूबाट फोल्डरको नाम चयन गर्दछ %ProgramFiles% वा C:Windows (GetWindowsDirectoryW बाट)। यसले अवस्थित फाइलहरूसँग द्वन्द्व हुन सक्ने नाम प्रयोग गर्नबाट जोगाउँछ र यसले निम्न शब्दहरू समावेश गर्दैन भनेर सुनिश्चित गर्दछ: windows, Microsoft, desktop, system, system32 वा syswow64। यदि डाइरेक्टरी पहिले नै अवस्थित छ भने, "NLS_{6 अक्षरहरू}" नाममा जोडिएको छ।

स्रोत 0x102 विश्लेषण गरिन्छ र फाइलहरू डम्प गरिन्छ %ProgramFiles% वा %AppData%, अनियमित रूपमा चयन गरिएको फोल्डरमा। सृजनाको समयलाई समान मानहरू हुन परिवर्तन गरियो kernel32.dll.

उदाहरणका लागि, यहाँ फोल्डर र कार्यान्वयन योग्य चयन गरेर सिर्जना गरिएका फाइलहरूको सूची छ C:Windowssystem32TCPSVCS.exe डाटा स्रोतको रूपमा।

चित्र 6. विभिन्न कम्पोनेन्टहरू निकाल्दै

स्रोत संरचना 0x102 ड्रपर मा धेरै जटिल छ। संक्षेपमा, यसले समावेश गर्दछ:
- फाइल नामहरू
- फाइल आकार र सामग्री
- कम्प्रेसन ढाँचा (COMPRESSION_FORMAT_LZNT1, प्रकार्य द्वारा प्रयोग गरिएको RtlDecompressBuffer)

पहिलो फाइल को रूपमा रिसेट गरिएको छ TCPSVCS.exe, जुन वैध छ AcroTranscoder.exe (यस अनुसार FileDescription, SHA-1: 2896738693A8F36CC7AD83EF1FA46F82F32BE5A3).

तपाईंले याद गर्नुभएको होला कि केहि DLL फाइलहरू 11 MB भन्दा ठूला छन्। यो किनभने कार्यान्वयनयोग्य फाइल भित्र अनियमित डाटाको ठूलो सन्निहित बफर राखिएको छ। यो सम्भव छ कि यो केहि सुरक्षा उत्पादनहरु द्वारा पत्ता लगाउनबाट बच्नको लागि एक तरिका हो।

दृढता सुनिश्चित गर्दै

स्रोत 0x101 ड्रपरमा दुई 32-बिट पूर्णाङ्कहरू छन् जसले कसरी दृढता प्रदान गर्नुपर्छ भनेर निर्दिष्ट गर्दछ। पहिलोको मानले व्यवस्थापक अधिकार बिना मालवेयर कसरी रहन्छ भनेर निर्दिष्ट गर्दछ।

तालिका 1. प्रशासक अधिकार बिना दृढता संयन्त्र

दोस्रो पूर्णांकको मानले व्यवस्थापक अधिकारहरूसँग चल्दा मालवेयरले कसरी निरन्तरता प्राप्त गर्नुपर्छ भनेर निर्दिष्ट गर्दछ।

तालिका 2. प्रशासक अधिकार संग दृढता संयन्त्र

सेवा नाम विस्तार बिना फाइल नाम हो; डिस्प्ले नाम फोल्डरको नाम हो, तर यदि यो पहिले नै अवस्थित छ भने, स्ट्रिङ "यसमा जोडिएको छRevision 1” (प्रयोग नगरिएको नाम नभेटेसम्म संख्या बढ्छ)। अपरेटरहरूले यो सुनिश्चित गरे कि सेवा मार्फत निरन्तरता बलियो थियो - असफल भएको अवस्थामा, सेवा १ सेकेन्ड पछि पुन: सुरु गर्नुपर्छ। त्यसपछि मूल्य WOW64 नयाँ सेवाको रजिस्ट्री कुञ्जी 4 मा सेट गरिएको छ, यो 32-बिट सेवा हो भनेर संकेत गर्दछ।

अनुसूचित कार्य धेरै COM इन्टरफेसहरू मार्फत सिर्जना गरिएको छ: ITaskScheduler, ITask, ITaskTrigger, IPersistFile и ITaskScheduler। अनिवार्य रूपमा, मालवेयरले लुकेको कार्य सिर्जना गर्दछ, हालको प्रयोगकर्ता वा प्रशासक जानकारीको साथ खाता जानकारी सेट गर्दछ, र त्यसपछि ट्रिगर सेट गर्दछ।

यो 24 घण्टाको अवधि र 10 मिनेटको दुई कार्यान्वयनहरू बीचको अन्तराल भएको दैनिक कार्य हो, जसको मतलब यो निरन्तर चल्नेछ।

खराब बिट

हाम्रो उदाहरणमा, कार्यान्वयनयोग्य फाइल TCPSVCS.exe (AcroTranscoder.exe) वैध सफ्टवेयर हो जसले DLL हरू लोड गर्दछ जुन यसको साथ रिसेट गरिन्छ। यस मामला मा, यो चासो छ Flash Video Extension.dll.

यसको कार्य DLLMain केवल अर्को प्रकार्य कल गर्दछ। केही अस्पष्ट भविष्यवाणीहरू छन्:

चित्र 7. अस्पष्ट भविष्यवाणी

यी भ्रामक जाँचहरू पछि, कोडले खण्ड प्राप्त गर्दछ .text फाइल TCPSVCS.exe, आफ्नो प्रतिरक्षा मा परिवर्तन PAGE_EXECUTE_READWRITE र डमी निर्देशनहरू थपेर यसलाई पुन: लेख्नुहोस्:

चित्र 8. निर्देशनहरूको अनुक्रम

समारोह ठेगानाको अन्त्यमा FLVCore::Uninitialize(void), निर्यात गरिएको छ Flash Video Extension.dll, निर्देशन थपिएको छ CALL। यसको मतलब यो हो कि मालिसियस DLL लोड भएपछि, रनटाइम कल गर्दा WinMain в TCPSVCS.exe, निर्देशन सूचकले NOP लाई संकेत गर्नेछ, कारण FLVCore::Uninitialize(void), अर्को चरण।

प्रकार्यले सुरुमा म्युटेक्स सिर्जना गर्दछ {181C8480-A975-411C-AB0A-630DB8B0A221}हालको प्रयोगकर्ता नाम पछि। यसले त्यसपछि डम्प गरिएको *.db3 फाइल पढ्छ, जसमा स्थिति-स्वतन्त्र कोड समावेश छ, र प्रयोग गर्दछ CreateThread सामग्री कार्यान्वयन गर्न।

*.db3 फाइलको सामग्री शेलकोड हो जुन OceanLotus समूहले सामान्यतया प्रयोग गर्दछ। हामीले प्रकाशित गरेको इमुलेटर स्क्रिप्ट प्रयोग गरेर हामीले फेरि सफलतापूर्वक यसको पेलोड अनप्याक गर्यौं GitHub मा.

लिपिले अन्तिम चरण निकाल्छ। यो कम्पोनेन्ट ब्याकडोर हो, जुन हामीले पहिले नै विश्लेषण गरिसकेका छौं अघिल्लो महासागर लोटस अध्ययन। यो GUID द्वारा निर्धारण गर्न सकिन्छ {A96B020F-0000-466F-A96D-A91BBF8EAC96} बाइनरी फाइल। मालवेयर कन्फिगरेसन अझै पनि PE स्रोतमा इन्क्रिप्ट गरिएको छ। यसको लगभग एउटै कन्फिगरेसन छ, तर C&C सर्भरहरू अघिल्लो भन्दा फरक छन्:

- andreagahuvrauvin[.]com - byronorenstein[.]com - stienollmache[.]xyz

OceanLotus टोलीले फेरि पत्ता लगाउनबाट बच्न विभिन्न प्रविधिहरूको संयोजन प्रदर्शन गर्दछ। तिनीहरू संक्रमण प्रक्रियाको "परिष्कृत" रेखाचित्रको साथ फर्के। अनियमित नामहरू छनौट गरेर र अनियमित डेटाको साथ कार्यान्वयन योग्यहरू भरेर, तिनीहरूले भरपर्दो IoC हरूको संख्या घटाउँछन् (ह्यास र फाइल नामहरूमा आधारित)। यसबाहेक, तेस्रो-पक्ष DLL लोडिङको प्रयोगको लागि धन्यवाद, आक्रमणकारीहरूले मात्र वैध बाइनरी हटाउन आवश्यक छ। AcroTranscoder.

आत्म-निकासी अभिलेखहरू

RTF फाइलहरू पछि, समूहले प्रयोगकर्तालाई थप भ्रमित गर्न साझा कागजात आइकनहरूको साथ सेल्फ एक्स्ट्र्याक्टिङ (SFX) अभिलेखहरूमा सारियो। थ्रेटबुकले यस बारे लेख्यो (चिनियाँ मा लिङ्क)। लन्च भएपछि, सेल्फ एक्स्ट्र्याक्ट गर्ने RAR फाइलहरू छोडिन्छन् र .ocx एक्सटेन्सन भएका DLLहरू कार्यान्वयन गरिन्छन्, जसको अन्तिम पेलोड पहिले नै कागजात गरिएको थियो। {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll। मध्य जनवरी २०१९ देखि, OceanLotus ले यो प्रविधि पुन: प्रयोग गरिरहेको छ, तर समयसँगै केही कन्फिगरेसनहरू परिवर्तन गर्दैछ। यस खण्डमा हामी प्रविधि र परिवर्तनहरूको बारेमा कुरा गर्नेछौं।

एक लालच सिर्जना गर्दै

कागजात THICH-THONG-LAC-HANH-THAP-THIEN-VIET-NAM (1).EXE (SHA-1: AC10F5B1D5ECAB22B7B418D6E98FA18E32BBDEAB) पहिलो पटक 2018 मा फेला परेको थियो। यो SFX फाइल बुद्धिमानीपूर्वक सिर्जना गरिएको थियो - वर्णनमा (संस्करण जानकारी) यसले यो JPEG छवि हो भन्छ। SFX लिपि यस्तो देखिन्छ:

चित्र 9. SFX आदेशहरू

मालवेयर रिसेट हुन्छ {9ec60ada-a200-4159-b310-8071892ed0c3}.ocx (SHA-1: EFAC23B0E6395B1178BCF7086F72344B24C04DCC), साथै एक तस्वीर 2018 thich thong lac.jpg.

डिकोय छवि यस्तो देखिन्छ:

चित्र 10. Decoy छवि

तपाईंले SFX स्क्रिप्टमा पहिलो दुई लाइनहरूले OCX फाइललाई दुई पटक कल गरेको याद गर्नुभएको होला, तर यो त्रुटि होइन।

{9ec60ada-a200-4159-b310-8071892ed0c3}.ocx (ShLd.dll)

OCX फाइलको नियन्त्रण प्रवाह अन्य OceanLotus कम्पोनेन्टहरूसँग धेरै समान छ - धेरै आदेश अनुक्रमहरू JZ/JNZ и PUSH/RET, फोहोर कोड संग एकान्तरण।

चित्र 11. अस्पष्ट कोड

जंक कोड फिल्टर गरेपछि, निर्यात गर्नुहोस् DllRegisterServer, बोलाइयो regsvr32.exe, निम्नानुसार:

चित्र 12. आधारभूत स्थापनाकर्ता कोड

सामान्यतया, पहिलो कलमा DllRegisterServer निर्यात रजिस्ट्री मूल्य सेट HKCUSOFTWAREClassesCLSID{E08A0F4B-1F65-4D4D-9A09-BD4625B9C5A1}Model DLL मा इन्क्रिप्टेड अफसेट को लागी (0x10001DE0).

जब प्रकार्यलाई दोस्रो पटक बोलाइन्छ, यसले उही मान पढ्छ र त्यो ठेगानामा कार्यान्वयन गर्दछ। यहाँबाट RAM मा स्रोत र धेरै कार्यहरू पढिन्छ र कार्यान्वयन गरिन्छ।

शेलकोड विगतका OceanLotus अभियानहरूमा प्रयोग गरिएको उही PE लोडर हो। यसको प्रयोग गरेर अनुकरण गर्न सकिन्छ हाम्रो लिपि। अन्तमा उसले रिसेट गर्छ db293b825dcc419ba7dc2c49fa2757ee.dll, मेमोरीमा लोड गर्छ र कार्यान्वयन गर्छ DllEntry.

DLL ले यसको स्रोतको सामग्री निकाल्छ, डिक्रिप्ट गर्दछ (AES-256-CBC) र यसलाई डिकम्प्रेस गर्दछ (LZMA)। स्रोतसँग एक विशिष्ट ढाँचा छ जुन डिकम्पाइल गर्न सजिलो छ।

चित्र 13. स्थापनाकर्ता कन्फिगरेसन संरचना (KaitaiStruct Visualizer)

कन्फिगरेसन स्पष्ट रूपमा निर्दिष्ट गरिएको छ - विशेषाधिकार स्तरको आधारमा, बाइनरी डेटामा लेखिनेछ। %appdata%IntellogsBackgroundUploadTask.cpl वा %windir%System32BackgroundUploadTask.cpl (वा SysWOW64 64-बिट प्रणालीहरूको लागि)।

नामको साथ कार्य सिर्जना गरेर थप दृढता सुनिश्चित गरिएको छ BackgroundUploadTask[junk].jobकहाँ [junk] बाइट्स को एक सेट को प्रतिनिधित्व गर्दछ 0x9D и 0xA0.

कार्य आवेदन नाम %windir%System32control.exe, र प्यारामिटर मान डाउनलोड गरिएको बाइनरी फाइलको बाटो हो। लुकेको कार्य हरेक दिन चल्छ।

संरचनात्मक रूपमा, CPL फाइल आन्तरिक नामको साथ DLL हो ac8e06de0a6c4483af9837d96504127e.dll, जसले एक प्रकार्य निर्यात गर्दछ CPlApplet। यो फाइलले यसको मात्र स्रोत डिक्रिप्ट गर्छ {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll, त्यसपछि यो DLL लोड गर्दछ र यसको मात्र निर्यात कल गर्दछ DllEntry.

ब्याकडोर कन्फिगरेसन फाइल

ब्याकडोर कन्फिगरेसन एन्क्रिप्टेड र यसको स्रोतहरूमा इम्बेड गरिएको छ। कन्फिगरेसन फाइलको संरचना अघिल्लो एकसँग धेरै समान छ।

चित्र 14. ब्याकडोर कन्फिगरेसन संरचना (KaitaiStruct Visualizer)

यद्यपि संरचना समान छ, धेरै फिल्ड मानहरू मा देखाइएकाबाट अद्यावधिक गरिएको छ हाम्रो पुरानो रिपोर्ट.

बाइनरी एरेको पहिलो तत्वले DLL समावेश गर्दछ (HttpProv.dll MD5: 2559738D1BD4A999126F900C7357B759), Tencent द्वारा पहिचान। तर बाइनरीबाट निर्यात नाम हटाइएकोले, ह्यासहरू मेल खाँदैनन्।

अतिरिक्त अनुसन्धान

नमूनाहरू सङ्कलन गर्दा, हामीले केही विशेषताहरू देख्यौं। भर्खरै वर्णन गरिएको नमूना जुलाई 2018 को वरिपरि देखा पर्‍यो, र यो जस्तै अन्यहरू भर्खरै जनवरीको मध्यदेखि फेब्रुअरी 2019 को सुरुमा देखा पर्‍यो। SFX अभिलेखलाई वैध डिकोय कागजात र खराब OSX फाइल छोडेर, संक्रमण भेक्टरको रूपमा प्रयोग गरिएको थियो।

यद्यपि OceanLotus नक्कली टाइमस्ट्याम्पहरू प्रयोग गर्दछ, हामीले याद गर्यौं कि SFX र OCX फाइलहरूको टाइमस्ट्याम्पहरू सधैं उस्तै हुन्छन् (0x57B0C36A (08/14/2016 @ 7:15pm UTC) र 0x498BE80F (02/06/2009 @ 7:34am UTC) क्रमशः)। यसले सम्भवतः संकेत गर्दछ कि लेखकहरूसँग केहि प्रकारको "डिजाइनर" छ जसले समान टेम्प्लेटहरू प्रयोग गर्दछ र केवल केही विशेषताहरू परिवर्तन गर्दछ।

हामीले 2018 को सुरुदेखि अध्ययन गरेका कागजातहरू मध्ये, आक्रमणकारीहरूको रुचि भएका देशहरूलाई सङ्केत गर्ने विभिन्न नामहरू छन्:

- कम्बोडिया मिडियाको नयाँ सम्पर्क जानकारी (New).xls.exe
— 李建香 (个人简历) exe (CV को नक्कली pdf कागजात)
— प्रतिक्रिया, संयुक्त राज्य अमेरिकामा जुलाई २८-२९, २०१८ सम्म र्‍याली।exe

पछाडिको ढोका पत्ता लागेदेखि {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll र धेरै शोधकर्ताहरू द्वारा यसको विश्लेषणको प्रकाशन, हामीले मालवेयर कन्फिगरेसन डाटामा केही परिवर्तनहरू अवलोकन गर्यौं।

पहिले, लेखकहरूले सहायक DLL बाट नामहरू हटाउन थाले (DNSprov.dll र दुई संस्करण HttpProv.dll)। अपरेटरहरूले त्यसपछि तेस्रो DLL (दोस्रो संस्करण HttpProv.dll), एउटा मात्र इम्बेड गर्न छनौट गर्दै।

दोस्रो, धेरै ब्याकडोर कन्फिगरेसन फिल्डहरू परिवर्तन गरिएका थिए, धेरै IoC हरू उपलब्ध भएकाले पत्ता लगाउनबाट बच्न सम्भव छ। लेखकहरूद्वारा परिमार्जन गरिएका महत्त्वपूर्ण क्षेत्रहरू समावेश छन्:

AppX रजिस्ट्री कुञ्जी परिवर्तन भयो (IoCs हेर्नुहोस्)
mutex encoding string ("def", "abc", "ghi")
पोर्ट नम्बर

अन्तमा, विश्लेषण गरिएका सबै नयाँ संस्करणहरूमा IoCs खण्डमा सूचीबद्ध नयाँ C&Cs छन्।

निष्कर्ष

OceanLotus विकास जारी छ। साइबर समूह उपकरण र डिकोइहरू परिष्कृत र विस्तारमा केन्द्रित छ। लेखकहरूले ध्यान खिच्ने कागजातहरू प्रयोग गरेर दुर्भावनापूर्ण पेलोडहरू लुकाउँछन् जसको विषय लक्षित पीडितहरूसँग सान्दर्भिक छ। तिनीहरू नयाँ योजनाहरू विकास गर्छन् र सार्वजनिक रूपमा उपलब्ध उपकरणहरू पनि प्रयोग गर्छन्, जस्तै समीकरण सम्पादक शोषण। यसबाहेक, तिनीहरूले पीडितको मेसिनमा बाँकी रहेका कलाकृतिहरूको संख्या घटाउन उपकरणहरू सुधार गर्दैछन्, जसले गर्दा एन्टिभाइरस सफ्टवेयरद्वारा पत्ता लगाउने सम्भावना कम हुन्छ।

समझौता को संकेतक

सम्झौताका सूचकहरू साथै MITER ATT&CK विशेषताहरू उपलब्ध छन् जीवन सुरक्षा मा и GitHub मा.

स्रोत: www.habr.com

ESET: OceanLotus साइबर समूहको लागि नयाँ ब्याकडोर डेलिभरी योजनाहरू