پوسٽ ۾، اسان توهان کي ٻڌائي سگهنداسين ته ڪيئن OceanLotus سائبرگ گروپ (APT32 ۽ APT-C-00) تازو استعمال ڪيو عوامي طور تي موجود استحصال مان هڪ , Microsoft Office ۾ ميموري ڪرپشن جا خطرا، ۽ ڪيئن گروپ جو مالويئر سمجهوتي نظام تي ثابت قدمي کي يقيني بڻائي ٿو بغير نشانن جي. اڳيون، اسان بيان ڪريون ٿا ته ڪيئن، 2019 جي شروعات کان وٺي، گروپ ڪوڊ هلائڻ لاءِ پاڻ ڪڍڻ واري آرڪائيو استعمال ڪري رهيو آهي.
OceanLotus سائبر جاسوسي ۾ ماهر آهي، ترجيحي هدف ڏکڻ اوڀر ايشيا جا ملڪ آهن. حملو ڪندڙ دستاويز ٺاهيندا آهن جيڪي امڪاني متاثرين جي ڌيان کي ڇڪيندا آهن انهن کي قائل ڪرڻ لاءِ انهن کي پٺتي پيل ڪرڻ لاءِ ، ۽ اوزارن جي ترقي تي پڻ ڪم ڪن ٿا. honeypots ٺاهڻ لاءِ استعمال ٿيل طريقا مختلف حملن ۾ مختلف ٿين ٿا - ”ڊبل ايڪسٽينشن“ فائلن کان وٺي، پاڻ کي ڪڍڻ واري آرڪائيوز، ميڪرو دستاويزن کان وٺي، معروف استحصال تائين.
Microsoft مساوات ايڊيٽر ۾ استحصال استعمال ڪندي
2018 جي وچ ۾، OceanLotus CVE-2017-11882 جي ڪمزورين جو استحصال ڪندي هڪ مهم هلائي. سائبرگ گروپ جي بدسلوڪي دستاويزن مان هڪ جو تجزيو ڪيو ويو 360 Threat Intelligence Center ماهرن ()، جنهن ۾ استحصال جي تفصيلي وضاحت شامل آهي. هيٺ ڏنل پوسٽ اهڙي بدسلوڪي دستاويز جو هڪ جائزو آهي.
پهريون اسٽيج
دستاويز FW Report on demonstration of former CNRP in Republic of Korea.doc (شا-1: D1357B284C951470066AAA7A8228190B88A5C7C3) مٿي ڏنل مطالعي ۾ ذڪر ڪيل ساڳيو آهي. اهو ان ۾ دلچسپ آهي ته اهو انهن صارفين جو مقصد آهي جيڪي ڪمبوڊين سياست ۾ دلچسپي رکن ٿا (CNRP - ڪمبوڊيا نيشنل سالويشن پارٽي، 2017 جي آخر ۾ ختم ٿي وئي). .doc جي واڌ جي باوجود، دستاويز RTF فارميٽ ۾ آهي (هيٺ ڏنل شڪل ڏسو)، جنڪ ڪوڊ تي مشتمل آهي، ۽ پڻ گندو آهي.
شڪل 1. RTF ۾ گندگي
خراب ٿيل عناصر جي موجودگي جي باوجود، لفظ ڪاميابيء سان هن RTF فائل کي کوليو. جيئن توهان تصوير 2 ۾ ڏسي سگهو ٿا، هتي هڪ EQNOLEFILEHDR ڍانچي آهي آفسيٽ 0xC00 تي ان کان پوءِ هڪ MTEF هيڊر ۽ پوءِ هڪ MTEF انٽري (Figure 3) فونٽ لاءِ.
شڪل 2. فونٽ رڪارڊ ويلز
تصوير 3.
ممڪن ميدان اوور فلو نالو، ڇاڪاڻ ته نقل ڪرڻ کان پهريان ان جي سائيز جي چڪاس نه ڪئي وئي آهي. تمام ڊگھو نالو خطري کي ڇڪي ٿو. جئين توهان RTF فائل جي مواد مان ڏسي سگهو ٿا (شڪل 0 ۾ 26xC2 آفسيٽ)، بفر شيل ڪوڊ سان ڀريو ويندو آهي جنهن جي پٺيان ڊمي حڪم (0x90) ۽ واپسي جو پتو 0x402114. ايڊريس ۾ هڪ ڊائلاگ عنصر آهي EQNEDT32.exeهدايتن ڏانهن اشارو ڪندي RET. هي EIP کي فيلڊ جي شروعات ڏانهن اشارو ڪري ٿو نالوجنهن ۾ شيل ڪوڊ.
شڪل 4. استحصال واري شيل ڪوڊ جي شروعات
پتو 0x45BD3C هڪ متغير کي ذخيرو ڪري ٿو جيڪو رد ڪيو ويو آهي جيستائين اهو هن وقت لوڊ ٿيل ڍانچي ڏانهن اشارو تائين پهچي ٿو MTEFData. هتي باقي شيل ڪوڊ آهي.
شيل ڪوڊ جو مقصد کليل دستاويز ۾ شامل ڪيل شيل ڪوڊ جو ٻيو ٽڪرو عمل ڪرڻ آهي. پهريون، اصل شيل ڪوڊ سڀني سسٽم جي وضاحت ڪندڙ (NtQuerySystemInformation هڪ دليل سان SystemExtendedHandleInformation) ۽ چيڪ ڪريو ته اهي ملن ٿا PID وضاحت ڪندڙ ۽ PID عمل WinWord ۽ ڇا دستاويز کي رسائي ماسڪ سان کوليو ويو - 0x12019F.
تصديق ڪرڻ لاءِ ته صحيح هينڊل مليو هو (۽ نه ٻئي کليل دستاويز جو هينڊل)، فائيل جو مواد ڏيکاريل آهي فنڪشن استعمال ڪندي CreateFileMapping، ۽ شيل ڪوڊ چيڪ ڪري ٿو ته ڇا دستاويز جا آخري چار بائيٽ ملن ٿا "yyyy» (هند جي شڪار جو طريقو). هڪ دفعو هڪ ميچ مليو آهي، دستاويز کي نقل ڪيو ويندو آهي عارضي فولڊر (GetTempPath) ڪيئن ole.dll. ان کان پوء دستاويز جي آخري 12 بائيٽ پڙهي رهيا آهن.
شڪل 5. دستاويز جي پڇاڙيءَ جا نشان
نشانن جي وچ ۾ 32-bit قدر AABBCCDD и yyyy ايندڙ شيل ڪوڊ جو آفسيٽ آهي. اهو هڪ فنڪشن سان سڏيو ويندو آهي CreateThread. ساڳيو شيل ڪوڊ ڪڍيو ويو جيڪو اڳ OceanLotus گروپ پاران استعمال ڪيو ويو. ، جيڪو اسان مارچ 2018 ۾ جاري ڪيو، اڃا تائين ٻئي اسٽيج ڊمپ لاءِ هلي رهيو آهي.
ٻيو اسٽيج
اجزاء ڪڍڻ
فائل ۽ ڊاريڪٽري جا نالا متحرڪ طور چونڊيا ويا آھن. ڪوڊ بي ترتيب طور تي هڪ قابل عمل يا DLL فائل جو نالو چونڊيندو آهي C:Windowssystem32. اهو وري پنهنجي وسيلن ڏانهن هڪ درخواست ڪري ٿو ۽ فيلڊ کي ٻيهر حاصل ڪري ٿو FileDescription فولڊر جي نالي طور استعمال ڪرڻ لاء. جيڪڏهن اهو ڪم نٿو ڪري، ڪوڊ بي ترتيب طور ڊائريڪٽرن مان فولڊر جو نالو چونڊيندو آهي %ProgramFiles% يا C:Windows (GetWindowsDirectoryW کان). اهو نالو استعمال ڪرڻ کان پاسو ڪري ٿو جيڪو موجوده فائلن سان تڪرار ڪري سگهي ٿو ۽ پڪ ڪري ٿو ته ان ۾ هيٺيان لفظ شامل نه آهن: windows, Microsoft, desktop, system, system32 يا syswow64. جيڪڏهن ڊاريڪٽري اڳ ۾ ئي موجود آهي، "NLS_{6 اکر}" نالي سان شامل ڪيو ويندو.
وسيلن جي 0x102 parsed ۽ فائلون ڊمپ ۾ %ProgramFiles% يا %AppData%، بي ترتيب تي چونڊيل فولڊر ڏانهن. تخليق جو وقت تبديل ٿي ويو آهي ته اهي ساڳيون قدر آهن kernel32.dll.
مثال طور، ھتي آھي فولڊر ۽ فائلن جي لسٽ جيڪا executable کي منتخب ڪندي ٺاھي وئي آھي C:Windowssystem32TCPSVCS.exe ڊيٽا جي ذريعن جي طور تي.
شڪل 6. مختلف اجزاء جو اضافي
وسيلن جي جوڙجڪ 0x102 هڪ dropper ۾ ڪافي پيچيده آهي. مختصر ۾، ان تي مشتمل آهي:
- فائلن جا نالا
- فائل سائيز ۽ مواد
- ڪمپريشن فارميٽ (COMPRESSION_FORMAT_LZNT1فنڪشن طرفان استعمال ڪيو ويو آهي RtlDecompressBuffer)
پهرين فائل کي ڊمپ ڪيو ويو آهي جيئن TCPSVCS.exe، جيڪو جائز آهي AcroTranscoder.exe (جي مطابق FileDescriptionSHA-1: 2896738693A8F36CC7AD83EF1FA46F82F32BE5A3).
توهان شايد محسوس ڪيو آهي ته ڪجهه DLL فائلون 11MB کان وڏيون آهن. اهو ئي سبب آهي ته بي ترتيب واري ڊيٽا جو هڪ وڏو متضاد بفر عملدرآمد جي اندر رکيل آهي. اهو ممڪن آهي ته اهو ڪجهه حفاظتي شين جي ڳولا کان بچڻ جو هڪ طريقو آهي.
استحڪام کي يقيني بڻائي
وسيلن جي 0x101 ڊراپر ۾ ٻه 32-بٽ انٽيجرز شامل آهن جيڪي بيان ڪن ٿا ته تسلسل کي ڪيئن لاڳو ڪيو وڃي. پهرين جو قدر بيان ڪري ٿو ته ڪيئن مالويئر جاري رهندو بغير منتظم جي حقن جي.
جدول 1. نان ايڊمنسٽريٽر پرسسٽنس ميڪنزم
سيڪنڊ انٽيجر جو قدر بيان ڪري ٿو ته ڪيئن مالويئر کي انتظامي استحقاق سان هلائڻ سان تسلسل کي يقيني بڻائڻ گهرجي.
ٽيبل 2. ايڊمنسٽريٽر پرسسٽنس ميڪنزم
خدمت جو نالو فائل جو نالو آھي بغير واڌ جي؛ ڊسپلي جو نالو فولڊر جو نالو آهي، پر جيڪڏهن اهو اڳ ۾ ئي موجود آهي، تار "Revision 1” (اهڙو تعداد وڌي ٿو جيستائين اڻ استعمال ٿيل نالو نه ملي). آپريٽرن اهو خيال رکيو آهي ته سروس جي ذريعي استقامت لچڪدار آهي - ناڪامي جي صورت ۾، سروس 1 سيڪنڊ کان پوءِ ٻيهر شروع ٿيڻ گهرجي. پوء قدر WOW64 سروس لاءِ نئين رجسٽري ڪيچ 4 تي سيٽ ڪئي وئي آهي، اهو ظاهر ڪري ٿو ته هي هڪ 32-bit خدمت آهي.
هڪ مقرر ڪيل ڪم ڪيترن ئي COM انٽرفيس ذريعي ٺاهي وئي آهي: ITaskScheduler, ITask, ITaskTrigger, IPersistFile и ITaskScheduler. لازمي طور تي، مالويئر هڪ لڪيل ڪم ٺاهي ٿو، موجوده صارف يا منتظم جي معلومات سان گڏ اڪائونٽ جي معلومات سيٽ ڪري ٿو، ۽ پوء ٽرگر سيٽ ڪري ٿو.
اهو هڪ روزاني ڪم آهي جنهن ۾ 24 ڪلاڪن جو عرصو ۽ 10 منٽن جي ٻن رنن جي وچ ۾ وقفو آهي، جنهن جو مطلب آهي ته اهو مسلسل هلندو.
خراب بٽ
اسان جي مثال ۾، executable TCPSVCS.exe (AcroTranscoder.exe) جائز سافٽ ويئر آهي جيڪو لوڊ ڪري ٿو ڊي ايل ايل جيڪي ان سان گڏ ڇڏيا ويا آهن. هن معاملي ۾، اها دلچسپي آهي Flash Video Extension.dll.
ان جي فنڪشن DLLMain صرف هڪ ٻئي فنڪشن کي سڏي ٿو. اتي ڪجھ مبهم اڳڪٿيون آھن:
شڪل 7. فزي اڳڪٿيون
انهن گمراهي واري چيڪن کان پوء، ڪوڊ هڪ سيڪشن حاصل ڪري ٿو .text فائل TCPSVCS.exe، ان جي حفاظت کي تبديل ڪري ٿو PAGE_EXECUTE_READWRITE ۽ ان کي ڊمي هدايتن سان مٿي لکي ٿو:
شڪل 8. هدايتن جو تسلسل
آخر ۾ فنڪشن جو پتو FLVCore::Uninitialize(void)، برآمد ٿيل Flash Video Extension.dll، هدايت شامل ڪئي وئي آهي CALL. هن جو مطلب آهي ته بدسلوڪي DLL لوڊ ٿيڻ کان پوء، جڏهن رن ٽائم ڪال WinMain в TCPSVCS.exe، ھدايت وارو پوائنٽر NOP ڏانھن اشارو ڪندو، نتيجي ۾ ڪالنگ FLVCore::Uninitialize(void)، ايندڙ اسٽيج.
فنڪشن صرف هڪ ميوٽڪس ٺاهي ٿو جيڪو شروع ٿئي ٿو {181C8480-A975-411C-AB0A-630DB8B0A221}موجوده صارف نالو جي پٺيان. اهو پوءِ ڊمپ ٿيل *.db3 فائل پڙهي ٿو، جنهن ۾ پوزيشن-آزاد ڪوڊ، ۽ استعمال ٿئي ٿو CreateThread مواد تي عمل ڪرڻ لاء.
*.db3 فائل جو مواد شيل ڪوڊ آھي جيڪو OceanLotus ٽيم عام طور تي استعمال ڪندي آھي. اسان ٻيهر ڪاميابيءَ سان ان جي پيلي لوڊ کي دٻايو ايموليٽر اسڪرپٽ استعمال ڪندي جيڪو اسان شايع ڪيو. .
اسڪرپٽ آخري اسٽيج کي حاصل ڪري ٿو. هي جزو هڪ پٺتي پيل آهي جنهن جو اسان اڳ ۾ ئي تجزيو ڪيو آهي . اهو GUID پاران طئي ڪري سگهجي ٿو {A96B020F-0000-466F-A96D-A91BBF8EAC96} بائنري فائل. مالويئر جي ٺاھ جوڙ اڃا تائين PE وسيلن ۾ انڪوڊ ٿيل آھي. ان جي ترتيب تقريبن ساڳي آهي، پر سي ۽ سي سرور اڳئين کان مختلف آهن:
- andreagahuvrauvin[.]com
- byronorenstein[.]com
- stienollmache[.]xyz
OceanLotus گروپ ٻيهر مختلف طريقن جي ميلاپ کي ظاهر ڪري ٿو ڳولڻ کان بچڻ لاء. اهي انفيڪشن جي عمل جي ”ختم“ اسڪيم سان واپس آيا. بي ترتيب نالن کي چونڊڻ ۽ بي ترتيب واري ڊيٽا سان عمل ڪندڙ کي ڀرڻ سان، اهي قابل اعتماد IoCs جو تعداد گھٽائي ٿو (هيش ۽ فائلن جي بنياد تي). ان کان علاوه، ٽئين پارٽي ڊي ايل ايل لوڊ ڪندي استعمال ڪندي، حملي ڪندڙن کي صرف جائز بائنري کي هٽائڻ جي ضرورت آهي AcroTranscoder.
پاڻ کي ڪڍڻ وارو آرڪائيو
RTF فائلن کان پوء، گروپ صارف کي وڌيڪ مونجهارو ڪرڻ لاء عام دستاويز جي آئڪن سان خودڪار ڪڍڻ (SFX) آرڪائيو ڏانهن تبديل ڪيو. خطري واري ڪتاب ان بابت لکيو آهي (). شروع ٿيڻ تي، پاڻ ڪڍڻ واري RAR فائلن کي ڊمپ ڪيو ويندو آهي ۽ ڊي ايل ايلز کي .ocx ايڪسٽينشن سان عمل ڪيو ويندو آهي، جنهن جو فائنل پيل لوڊ اڳ ۾ دستاويز ڪيو ويو هو. {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll. جنوري 2019 جي وچ کان وٺي، OceanLotus هن ٽيڪنڪ کي ٻيهر استعمال ڪري رهيو آهي، پر وقت سان گڏ ڪجهه ترتيبن کي تبديل ڪندي. هن حصي ۾، اسان ٽيڪنالاجي ۽ تبديلين بابت ڳالهائينداسين.
لالچ ٺاهڻ
دستاويز THICH-THONG-LAC-HANH-THAP-THIEN-VIET-NAM (1).EXE (شا-1: AC10F5B1D5ECAB22B7B418D6E98FA18E32BBDEAB) پهريون ڀيرو 2018 ۾ مليو. هي SFX فائل ذهن سان ٺهيل هئي - وضاحت ۾ (نسخي جي Infoاڻ) چوي ٿو اها هڪ JPEG تصوير آهي. SFX اسڪرپٽ هن طرح ڏسڻ ۾ اچي ٿو:
شڪل 9. SFX حڪم
مالويئر ري سيٽ ڪري ٿو {9ec60ada-a200-4159-b310-8071892ed0c3}.ocx (شا-1: EFAC23B0E6395B1178BCF7086F72344B24C04DCC)، انهي سان گڏ هڪ تصوير 2018 thich thong lac.jpg.
ڊاهي تصوير هن طرح نظر اچي ٿي:
شڪل 10. Decoy تصوير
توهان شايد محسوس ڪيو هوندو ته SFX اسڪرپٽ ۾ پهرين ٻه لائينون OCX فائل کي ٻه ڀيرا سڏين ٿيون، پر اهو هڪ غلطي ناهي.
{9ec60ada-a200-4159-b310-8071892ed0c3}.ocx (ShLd.dll)
OCX فائل جو ڪنٽرول وهڪرو ٻين OceanLotus اجزاء سان تمام گهڻو ملندڙ جلندڙ آهي - ڪيترائي حڪم ترتيبون JZ/JNZ и PUSH/RETجڪ ڪوڊ سان ڳنڍيل.
شڪل 11. مبهم ڪوڊ
گندگي جي ڪوڊ کي فلٽر ڪرڻ کان پوء، ايڪسپورٽ DllRegisterServer، سڏيو regsvr32.exe، جيئن ته:
شڪل 12. مکيه انسٽالر ڪوڊ
بنيادي طور تي، پهريون ڀيرو توهان کي سڏي ٿو DllRegisterServer ايڪسپورٽ سيٽ رجسٽري قيمت HKCUSOFTWAREClassesCLSID{E08A0F4B-1F65-4D4D-9A09-BD4625B9C5A1}Model ڊي ايل ايل ۾ انڪرپٽ ٿيل آفسيٽ لاءِ (0x10001DE0).
جڏهن فنڪشن کي ٻيو ڀيرو سڏيو ويندو آهي، اهو ساڳيو قدر پڙهي ٿو ۽ انهي پتي تي عمل ڪري ٿو. ھتان کان، وسيلو پڙھيو ويندو آھي ۽ عمل ڪيو ويندو آھي، ۽ ڪيترائي ڪارناما رام ۾ ڪيا ويندا آھن.
شيل ڪوڊ ساڳيو پي اي لوڊر آهي جيڪو ماضي OceanLotus مهمن ۾ استعمال ڪيو ويو آهي. ان سان emulated ڪري سگهجي ٿو . آخر ۾، هو ڦٽي ٿو db293b825dcc419ba7dc2c49fa2757ee.dll، ان کي ميموري ۾ لوڊ ڪري ٿو ۽ عمل ڪري ٿو DllEntry.
ڊي ايل ايل ان جي وسيلن جي مواد کي ڪڍي ٿو، ڊيڪرپٽس (AES-256-CBC) ۽ ان کي ختم ڪري ٿو (LZMA). وسيلن وٽ هڪ مخصوص فارميٽ آهي جنهن کي ڊمپائل ڪرڻ آسان آهي.
شڪل 13. انسٽالر جي ٺاھ جوڙ جي جوڙجڪ (KaitaiStruct Visualizer)
تشڪيل واضح طور تي مقرر ڪئي وئي آهي - استحقاق جي سطح تي منحصر ڪري، بائنري ڊيٽا کي لکيو ويندو %appdata%IntellogsBackgroundUploadTask.cpl يا %windir%System32BackgroundUploadTask.cpl (يا SysWOW64 64-bit سسٽم لاءِ).
وڌيڪ تسلسل کي يقيني بڻايو وڃي ٿو نالي هڪ ڪم ٺاهي BackgroundUploadTask[junk].jobڪٿي [junk] بائيٽ جو هڪ سيٽ آهي 0x9D и 0xA0.
ٽاسڪ ايپليڪيشن جو نالو %windir%System32control.exe، ۽ پيٽرولر جو قدر ڊائون لوڊ ٿيل بائنري فائل جو رستو آهي. لڪيل ڪم هر روز هلندو آهي.
ساخت جي طور تي، هڪ سي پي ايل فائل هڪ اندروني نالي سان هڪ DLL آهي ac8e06de0a6c4483af9837d96504127e.dll، جيڪو فنڪشن کي برآمد ڪري ٿو CPlApplet. هي فائل ان جي واحد وسيلو کي رد ڪري ٿو {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll، پوءِ ان DLL کي لوڊ ڪري ٿو ۽ ان جي صرف برآمد کي سڏي ٿو DllEntry.
پوئين دروازي جي ٺاھ جوڙ فائيل
پوئين دروازي جي ٺاھ جوڙ انڪوڊ ٿيل آھي ۽ ان جي وسيلن ۾ شامل ڪئي وئي آھي. ٺاھ جوڙ جي فائيل جي جوڙجڪ تمام گهڻو اڳئين هڪ سان ملندڙ جلندڙ آهي.
تصوير 14. پوئين دروازي جي جوڙجڪ جي جوڙجڪ (KaitaiStruct Visualizer)
ساڳي جوڙجڪ جي باوجود، ڪيترن ئي شعبن جي قيمتن ۾ ڏيکاريل ڊيٽا جي مقابلي ۾ اپڊيٽ ڪيو ويو آهي .
بائنري صف جي پهرين عنصر تي مشتمل آهي DLL (HttpProv.dll ايم ڊي 5: 2559738D1BD4A999126F900C7357B759), . پر جيئن ته ايڪسپورٽ جو نالو بائنري مان هٽايو ويو آهي، هيشز نه ملنديون آهن.
اضافي تحقيق
نموني گڏ ڪرڻ، اسان ڪجهه خاصيتن تي ڌيان ڏنو. نمونو صرف بيان ڪيل جولاء 2018 جي ڀرسان ظاهر ٿيو، ۽ ٻيا ان کي وڌيڪ تازو ظاهر ٿيو، جنوري جي وچ ۾ - فيبروري 2019 جي شروعات ۾. هڪ SFX آرڪائيو هڪ انفڪشن ویکٹر جي طور تي استعمال ڪيو ويو، هڪ جائز ٺهڪندڙ دستاويز ۽ بدسلوڪي OCX فائل کي ڇڏيندي.
جيتوڻيڪ OceanLotus جعلي ٽائم اسٽيمپ استعمال ڪندو آهي، اسان ڏٺو ته SFX ۽ OCX فائلن جا ٽائم اسٽيمپ هميشه ساڳيا آهن (0x57B0C36A (08/14/2016 @ 7:15pm UTC) ۽ 0x498BE80F (02/06/2009 @ 7:34am UTC) ترتيب سان). اهو شايد ظاهر ڪري ٿو ته ليکڪن وٽ ڪجهه قسم جو "ٺاهيندڙ" آهي جيڪو ساڳيو ٽيمپليٽ استعمال ڪري ٿو ۽ صرف ڪجهه خاصيتون تبديل ڪري ٿو.
انهن دستاويزن مان جن جو اسان 2018 جي شروعات کان اڀياس ڪيو آهي، اتي مختلف نالا آهن جن ۾ دلچسپي جي حملي ڪندڙ ملڪن جو اشارو آهي:
- ڪمبوڊيا ميڊيا جي نئين رابطي جي معلومات (New).xls.exe
- 李建香 (个人简历).exe (هڪ سي وي جو جعلي پي ڊي ايف دستاويز)
- موٽ، ريلي آمريڪا ۾ جولاءِ 28-29، 2018.exe
پٺاڻ جي دريافت کان وٺي {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll ۽ ڪيترن ئي محققن پاران ان جي تجزيي جي اشاعت، اسان مالويئر جي ترتيب واري ڊيٽا ۾ ڪجهه تبديليون ڏٺو.
پهرين، ليکڪن جا نالا هٽائڻ شروع ڪيا مددگار DLL DLLs (DNSprov.dll ۽ ٻه نسخو HttpProv.dll). پوءِ آپريٽرز ٽين ڊي ايل ايل (سيڪنڊ ورشن HttpProv.dll)، صرف ھڪڙو شامل ڪرڻ لاء چونڊيو.
ٻيو، ڪيترن ئي پوئين دروازي جي ترتيب واري فيلڊ کي تبديل ڪيو ويو آهي، شايد ڳولڻ کان بچڻ لاء جيئن ڪيترائي IoCs دستياب ٿي چڪا آهن. ليکڪن پاران تبديل ڪيل اهم شعبن ۾ هيٺيان آهن:
- تبديل ٿيل رجسٽري ڪيئي AppX (ڏسو IoCs)
- mutex انڪوڊنگ اسٽرنگ ("def"، "abc"، "ghi")
- پورٽ نمبر
آخرڪار، سڀني نئين نسخن جو تجزيو ڪيو ويو آهي نوان C & Cs IoCs سيڪشن ۾ درج ٿيل آهن.
پهچڻ
OceanLotus ارتقا جاري رکي ٿو. سائبر گروپ اوزارن ۽ لالچ کي بهتر ڪرڻ ۽ وڌائڻ تي مرکوز آهي. ليکڪ ڌيان ڇڪائڻ واري دستاويزن سان بدسلوڪي پيل لوڊ کي ڇڪيندا آهن جيڪي متاثر ٿيل متاثرين سان لاڳاپيل آهن. اهي نوان سرڪٽ ٺاهيندا آهن ۽ عوامي طور تي دستياب اوزار پڻ استعمال ڪندا آهن جهڙوڪ مساوات ايڊيٽر استحصال. ان کان علاوه، اهي اوزار کي بهتر ڪري رهيا آهن متاثرين جي مشينن تي ڇڏيل نمونن جي تعداد کي گهٽائڻ لاءِ، ان ڪري اينٽي وائرس سافٽ ويئر جي ذريعي دريافت ٿيڻ جا موقعا گهٽائي رهيا آهن.
سمجھوتي جا اشارا
سمجھوتي جا اشارا ۽ گڏوگڏ MITER ATT ۽ CK خاصيتون موجود آھن и .
جو ذريعو: www.habr.com