ProHoster > බ්ලොග් > පරිපාලනය > ESET: OceanLotus Cybergroup Backdoor සඳහා නව බෙදාහැරීමේ යෝජනා ක්‍රම

ESET: OceanLotus Cybergroup Backdoor සඳහා නව බෙදාහැරීමේ යෝජනා ක්‍රම

OceanLotus cybergroup (APT32 සහ APT-C-00) මෑතකදී ප්‍රසිද්ධියේ ලබා ගත හැකි සූරාකෑම් වලින් එකක් භාවිතා කළ ආකාරය පළ කිරීමෙහි අපි ඔබට කියන්නෙමු. CVE-2017-11882, මයික්‍රොසොෆ්ට් ඔෆිස් හි මතක දූෂණ අවදානම්, සහ සමූහයේ අනිෂ්ට මෘදුකාංග අංශු මාත්‍ර ඉතිරි නොකර සම්මුතිගත පද්ධතිවල අඛණ්ඩ පැවැත්ම සහතික කරන ආකාරය. ඊළඟට, අපි 2019 ආරම්භයේ සිට, කේතය ධාවනය කිරීමට ස්වයං-නිස්සාරණ ලේඛනාගාරය භාවිතා කරන ආකාරය විස්තර කරමු.

OceanLotus සයිබර් ඔත්තු බැලීම සඳහා විශේෂීකරණය කරයි, ප්‍රමුඛතා ඉලක්ක වන්නේ අග්නිදිග ආසියාවේ රටවල් වේ. ප්‍රහාරකයින් විභව වින්දිතයින්ගේ අවධානය ආකර්ෂණය කර ගන්නා ලේඛන ව්‍යාජ ලෙස සකස් කරන්නේ ඔවුන්ට පසුබිම් දොරක් ගෙන යාමට ඒත්තු ගැන්වීමට සහ මෙවලම් සංවර්ධනය කිරීමට ද කටයුතු කරයි. Honeypots නිර්මාණය කිරීමට භාවිතා කරන ක්‍රම විවිධ ප්‍රහාර වලදී වෙනස් වේ - "ද්විත්ව දිගු" ගොනු, ස්වයං-නිස්සාරණ ලේඛනාගාර, සාර්ව ලේඛන, සුප්‍රසිද්ධ සූරාකෑම් දක්වා.

ESET: OceanLotus Cybergroup Backdoor සඳහා නව බෙදාහැරීමේ යෝජනා ක්‍රම

Microsoft Equation Editor හි ඇති සූරාකෑම භාවිතා කිරීම

2018 මැද භාගයේදී, OceanLotus විසින් CVE-2017-11882 අවදානම ගසාකමින් ව්‍යාපාරයක් දියත් කරන ලදී. තර්ජන බුද්ධි මධ්‍යස්ථාන විශේෂඥයින් 360ක් විසින් සයිබර් සමූහයේ එක් ද්වේෂ සහගත ලේඛනයක් විශ්ලේෂණය කරන ලදී (චීන භාෂාවෙන් ඉගෙන ගන්න), සූරාකෑම පිළිබඳ සවිස්තරාත්මක විස්තරයක් ඇතුළුව. පහත පළකිරීමේ එවැනි ද්වේශ සහගත ලේඛනයක දළ විශ්ලේෂණයක් අඩංගු වේ.

පළමු අදියර

ලේඛනය FW Report on demonstration of former CNRP in Republic of Korea.doc (ශා-1: D1357B284C951470066AAA7A8228190B88A5C7C3) ඉහත අධ්‍යයනයේ සඳහන් ආකාරයට සමාන වේ. එය කාම්බෝජ දේශපාලනය ගැන උනන්දුවක් දක්වන පරිශීලකයින් ඉලක්ක කර තිබීම සිත්ගන්නා කරුණකි (CNRP - Cambodia National Salvation Party, 2017 අවසානයේ විසුරුවා හරින ලදි). .doc දිගුව තිබියදීත්, ලේඛනය RTF ආකෘතියෙන් ඇත (පහත රූපය බලන්න), නිසරු කේතය අඩංගු වන අතර, එය ද අවුල් කර ඇත.

ESET: OceanLotus Cybergroup Backdoor සඳහා නව බෙදාහැරීමේ යෝජනා ක්‍රම
රූපය 1. RTF හි කුණු

විකෘති මූලද්‍රව්‍ය තිබියදීත්, Word මෙම RTF ගොනුව සාර්ථකව විවෘත කරයි. ඔබට රූප සටහන 2 හි දැකිය හැකි පරිදි, මෙහි EQNOLEFILEHDR ව්‍යුහයක් 0xC00 හි ඕෆ්සෙට් කර MTEF ශීර්ෂයක් සහ පසුව අකුරු සඳහා MTEF ප්‍රවේශයක් (රූපය 3) ඇත.

ESET: OceanLotus Cybergroup Backdoor සඳහා නව බෙදාහැරීමේ යෝජනා ක්‍රම
රූපය 2. FONT වාර්තා අගයන්

ESET: OceanLotus Cybergroup Backdoor සඳහා නව බෙදාහැරීමේ යෝජනා ක්‍රම
පින්තූරය 3. FONT පටිගත කිරීමේ ආකෘතිය

විය හැකි ක්ෂේත්‍ර පිටාර ගැලීම නාමය, පිටපත් කිරීමට පෙර එහි විශාලත්වය පරීක්ෂා නොකරන බැවිනි. ඉතා දිගු නම අවදානම අවුලුවයි. RTF ගොනුවේ අන්තර්ගතයෙන් ඔබට පෙනෙන පරිදි (රූප සටහන 0 හි 26xC2 ඕෆ්සෙට් කර ඇත), බෆරය shellcode වලින් පිරී ඇති අතර පසුව ව්යාජ විධානයක් (0x90) සහ ආපසු ලිපිනය 0x402114. ලිපිනය සංවාද අංගයකි EQNEDT32.exeඋපදෙස් වෙත යොමු කිරීම RET. මෙය EIP ක්ෂේත්රයේ ආරම්භය වෙත යොමු කිරීමට හේතු වේ නාමයෂෙල් කේතය අඩංගු වේ.

ESET: OceanLotus Cybergroup Backdoor සඳහා නව බෙදාහැරීමේ යෝජනා ක්‍රම
Figure 4. exploit shellcode ආරම්භය

ලිපිනය 0x45BD3C දැනට පටවා ඇති ව්‍යුහයට පොයින්ටරයකට ළඟා වන තෙක් විචල්‍යයක් ගබඩා කරයි MTEFData. මෙන්න ඉතිරි shellcode එක.

shellcode හි පරමාර්ථය වන්නේ විවෘත ලේඛනයේ කාවැද්දූ දෙවන shellcode කොටස ක්‍රියාත්මක කිරීමයි. පළමුව, මුල් shellcode මඟින් විවෘත ලේඛනයේ ගොනු විස්තරය සොයා ගැනීමට උත්සාහ කරන්නේ සියලුම පද්ධති විස්තර මත පුනරාවර්තනය කිරීමෙනි (NtQuerySystemInformation තර්කයක් සමඟ SystemExtendedHandleInformation) සහ ඒවා ගැලපෙන්නේ දැයි පරීක්ෂා කිරීම PID විස්තර කරන්නා සහ PID ක්රියාවලිය WinWord සහ ලේඛනය ප්‍රවේශ වෙස් මුහුණකින් විවෘත කර තිබේද - 0x12019F.

නිවැරදි හසුරුව සොයාගත් බව තහවුරු කිරීම සඳහා (වෙනත් විවෘත ලේඛනයක හසුරුව නොවේ), ගොනුවේ අන්තර්ගතය ශ්‍රිතය භාවිතයෙන් පෙන්වනු ලැබේ. CreateFileMapping, සහ shellcode ලේඛනයේ අවසාන බයිට් හතර ගැලපේදැයි පරීක්ෂා කරයි "yyyy» (බිත්තර දඩයම් ක්රමය). ගැලපීමක් සොයාගත් පසු, ලේඛනය තාවකාලික ෆෝල්ඩරයකට පිටපත් කරනු ලැබේ (GetTempPath) කෙසේද ole.dll. එවිට ලේඛනයේ අවසාන බයිට් 12 කියවනු ලැබේ.

ESET: OceanLotus Cybergroup Backdoor සඳහා නව බෙදාහැරීමේ යෝජනා ක්‍රම
රූපය 5. ලේඛන අවසන් සලකුණු

සලකුණු අතර බිට් 32 අගය AABBCCDD и yyyy ඊළඟ shellcode හි ඕෆ්සෙට් වේ. එය ශ්‍රිතයක් සමඟ හැඳින්වේ CreateThread. මීට පෙර OceanLotus කණ්ඩායම විසින් භාවිතා කරන ලද එම shellcode උපුටා ගන්නා ලදී. පයිතන් අනුකරණ පිටපත, අපි 2018 මාර්තු මාසයේදී නිකුත් කළ, තවමත් දෙවන අදියර ඩම්ප් සඳහා ධාවනය වෙමින් පවතී.

දෙවන අදියර

සංරචක උපුටා ගැනීම

ගොනු සහ නාමාවලි නම් ගතිකව තෝරා ගනු ලැබේ. කේතය අහඹු ලෙස ක්‍රියාත්මක කළ හැකි හෝ DLL ගොනුවක නම තෝරා ගනී C:Windowssystem32. එය පසුව එහි සම්පත් සඳහා ඉල්ලීමක් කර ක්ෂේත්රය ලබා ගනී FileDescription ෆෝල්ඩරයේ නම ලෙස භාවිතා කිරීමට. එය ක්‍රියා නොකරන්නේ නම්, කේතය අහඹු ලෙස නාමාවලි වලින් ෆෝල්ඩර නාමයක් තෝරා ගනී %ProgramFiles% හෝ C:Windows (GetWindowsDirectoryW වෙතින්). එය පවතින ගොනු සමඟ ගැටෙන නමක් භාවිතා කිරීමෙන් වළකින අතර එහි පහත වචන අඩංගු නොවන බවට වග බලා ගනී: windows, Microsoft, desktop, system, system32 හෝ syswow64. නාමාවලිය දැනටමත් පවතී නම්, "NLS_{6 අක්ෂර}" නමට එකතු වේ.

සම්පත් 0x102 විග්‍රහ කර ලිපිගොනු දමා ඇත %ProgramFiles% හෝ %AppData%, අහඹු ලෙස තෝරාගත් ෆෝල්ඩරයකට. නිර්මාණ කාලය එකම අගයන් ඇති බවට වෙනස් විය kernel32.dll.

උදාහරණයක් ලෙස, ක්‍රියාත්මක කළ හැකි තේරීමෙන් සාදන ලද ෆෝල්ඩරය සහ ගොනු ලැයිස්තුව මෙන්න C:Windowssystem32TCPSVCS.exe දත්ත මූලාශ්රයක් ලෙස.

ESET: OceanLotus Cybergroup Backdoor සඳහා නව බෙදාහැරීමේ යෝජනා ක්‍රම
රූපය 6. විවිධ සංරචක නිස්සාරණය කිරීම

සම්පත් ව්යුහය 0x102 dropper එකක තරමක් සංකීර්ණයි. කෙටියෙන් කිවහොත්, එහි අඩංගු වන්නේ:
- ගොනු නම්
- ගොනු විශාලත්වය සහ අන්තර්ගතය
- සම්පීඩන ආකෘතිය (COMPRESSION_FORMAT_LZNT1ශ්රිතය මගින් භාවිතා වේ RtlDecompressBuffer)

පළමු ගොනුව ලෙස ඩම්ප් කර ඇත TCPSVCS.exe, නීත්යානුකූල වන AcroTranscoder.exe (අනුව FileDescription, SHA-1: 2896738693A8F36CC7AD83EF1FA46F82F32BE5A3).

සමහර DLL ගොනු 11MB ට වඩා විශාල බව ඔබ දැක ඇති. මක්නිසාද යත්, ක්‍රියාත්මක කළ හැකි එක තුළ විශාල අහඹු දත්ත බෆරයක් තබා ඇති බැවිනි. සමහර ආරක්ෂක නිෂ්පාදන මගින් අනාවරණය වීම වළක්වා ගැනීමට මෙය ක්රමයක් විය හැකිය.

අඛණ්ඩ පැවැත්ම සහතික කිරීම

සම්පත් 0x101 dropper හි 32-bit පූර්ණ සංඛ්‍යා දෙකක් අඩංගු වන අතර එය ස්ථීරභාවය බලාත්මක කළ යුතු ආකාරය සඳහන් කරයි. පරිපාලක අයිතිවාසිකම් නොමැතිව අනිෂ්ට මෘදුකාංග පවතිනු ඇති ආකාරය පළමු අගය සඳහන් කරයි.

ESET: OceanLotus Cybergroup Backdoor සඳහා නව බෙදාහැරීමේ යෝජනා ක්‍රම
වගුව 1. පරිපාලක නොවන ස්ථීර යාන්ත්රණය

දෙවන නිඛිලයේ අගය, අනිෂ්ට මෘදුකාංග පරිපාලන වරප්‍රසාද සමඟින් ක්‍රියාත්මක වීම මගින් අඛණ්ඩ පැවැත්ම සහතික කළ යුතු ආකාරය සඳහන් කරයි.

ESET: OceanLotus Cybergroup Backdoor සඳහා නව බෙදාහැරීමේ යෝජනා ක්‍රම
වගුව 2. පරිපාලක ස්ථීර යාන්ත්රණය

සේවා නාමය දිගුවකින් තොරව ගොනු නාමයයි; සංදර්ශක නාමය ෆෝල්ඩරයේ නම වේ, නමුත් එය දැනටමත් පවතී නම්, string "Revision 1” (භාවිතා නොකළ නමක් සොයා ගන්නා තෙක් සංඛ්යාව වැඩි වේ). සේවාව හරහා පවතින අඛණ්ඩ පැවැත්ම ප්‍රත්‍යස්ථ බව ක්‍රියාකරුවන් වග බලා ගෙන ඇත - අසාර්ථක වූ විට, සේවාව තත්පර 1 කින් පසු නැවත ආරම්භ කළ යුතුය. එවිට වටිනාකම WOW64 සේවාව සඳහා නව රෙජිස්ට්‍රි යතුර 4 ලෙස සකසා ඇති අතර, මෙය බිට් 32 සේවාවක් බව පෙන්නුම් කරයි.

COM අතුරුමුහුණත් කිහිපයක් හරහා නියමිත කාර්යයක් නිර්මාණය කර ඇත: ITaskScheduler, ITask, ITaskTrigger, IPersistFile и ITaskScheduler. අත්‍යවශ්‍යයෙන්ම, අනිෂ්ට මෘදුකාංගය සැඟවුණු කාර්යයක් නිර්මාණය කරයි, වත්මන් පරිශීලක හෝ පරිපාලක තොරතුරු සමඟ ගිණුම් තොරතුරු සකසයි, පසුව ප්‍රේරකය සකසයි.

මෙය දෛනික කාර්යයක් වන අතර පැය 24 ක කාලයක් සහ මිනිත්තු 10 ක ධාවන දෙකක් අතර කාල පරතරයක් ඇත, එයින් අදහස් වන්නේ එය නිරන්තරයෙන් ක්‍රියාත්මක වන බවයි.

ද්වේෂ සහගත ටිකක්

අපගේ උදාහරණයේ, ක්රියාත්මක කළ හැකි TCPSVCS.exe (AcroTranscoder.exe) යනු නීත්‍යානුකූල මෘදුකාංගයක් වන අතර එය සමඟ අතහැර දැමූ DLL පටවනු ලැබේ. මෙම අවස්ථාවේ දී, එය උනන්දුවක් දක්වයි Flash Video Extension.dll.

එහි කාර්යය DLLMain හුදෙක් වෙනත් කාර්යයක් අමතන්න. නොපැහැදිලි අනාවැකි කිහිපයක් තිබේ:

ESET: OceanLotus Cybergroup Backdoor සඳහා නව බෙදාහැරීමේ යෝජනා ක්‍රම
රූපය 7. Fuzzy අනාවැකි

මෙම නොමඟ යවනසුලු චෙක්පත් වලින් පසුව, කේතයට කොටසක් ලැබේ .text ගොනුව TCPSVCS.exe, එහි ආරක්ෂාව වෙනස් කරයි PAGE_EXECUTE_READWRITE සහ ව්යාජ උපදෙස් සමඟ එය උඩින් ලියයි:

ESET: OceanLotus Cybergroup Backdoor සඳහා නව බෙදාහැරීමේ යෝජනා ක්‍රම
රූපය 8. උපදෙස් අනුපිළිවෙල

අවසානයේ කාර්යයේ ලිපිනය වෙත FLVCore::Uninitialize(void), අපනයනය කරන ලදී Flash Video Extension.dll, උපදෙස් එකතු කර ඇත CALL. මෙයින් අදහස් කරන්නේ අනිෂ්ට DLL පූරණය වූ පසු, ධාවන කාලය ඇමතීමෙන් පසුව බවයි WinMain в TCPSVCS.exe, උපදෙස් දර්ශකය NOP වෙත යොමු කරනු ඇත, එහි ප්‍රතිඵලයක් ලෙස ඇමතුමක් ලැබෙනු ඇත FLVCore::Uninitialize(void), ඊළඟ අදියර.

ශ්‍රිතය සරලව ආරම්භ වන mutex නිර්මාණය කරයි {181C8480-A975-411C-AB0A-630DB8B0A221}වත්මන් පරිශීලක නාමය අනුගමනය කරයි. පසුව එය ස්ථාන-ස්වාධීන කේතය අඩංගු ඩම්ප් කරන ලද *.db3 ගොනුව කියවා භාවිතා කරයි CreateThread අන්තර්ගතය ක්‍රියාත්මක කිරීමට.

*.db3 ගොනුවේ අන්තර්ගතය OceanLotus කණ්ඩායම සාමාන්‍යයෙන් භාවිතා කරන shellcode වේ. අප විසින් ප්‍රකාශයට පත් කරන ලද ඉමුලේටර් ස්ක්‍රිප්ටය භාවිතයෙන් අපි නැවතත් එහි ගෙවීම් සාර්ථකව විසන්ධි කළෙමු. GitHub මත.

පිටපත අවසාන අදියර ලබා ගනී. මෙම සංරචකය අප දැනටමත් විශ්ලේෂණය කර ඇති පසුබිමකි පෙර OceanLotus අධ්‍යයනය. මෙය GUID මගින් තීරණය කළ හැක {A96B020F-0000-466F-A96D-A91BBF8EAC96} ද්විමය ගොනුව. අනිෂ්ට මෘදුකාංග වින්‍යාසය තවමත් PE සම්පත තුළ සංකේතනය කර ඇත. එය දළ වශයෙන් එකම වින්‍යාසය ඇත, නමුත් C&C සේවාදායකයන් පෙර ඒවාට වඩා වෙනස් ය:

- andreagahuvrauvin[.]com
- byronorenstein[.]com
- stienollmache[.]xyz

OceanLotus කණ්ඩායම නැවතත් හඳුනාගැනීම වැළැක්වීම සඳහා විවිධ ශිල්පීය ක්‍රමවල එකතුවක් පෙන්නුම් කරයි. ඔවුන් ආපසු පැමිණියේ ආසාදන ක්‍රියාවලියේ "නිමි" යෝජනා ක්‍රමයක් සමඟිනි. අහඹු නම් තෝරා ගැනීමෙන් සහ අහඹු දත්ත සමඟ ක්‍රියාත්මක කළ හැකි ඒවා පිරවීමෙන්, ඒවා විශ්වාසදායක IoC ගණන (හැෂ් සහ ගොනු නාම මත පදනම්ව) අඩු කරයි. එපමනක් නොව, තෙවන පාර්ශවීය DLL පැටවීම භාවිතා කිරීමෙන්, ප්රහාරකයින්ට නීත්යානුකූල ද්විමය ඉවත් කිරීමට පමණක් අවශ්ය වේ AcroTranscoder.

ස්වයං-නිස්සාරණය ලේඛනාගාරය

RTF ගොනු වලින් පසුව, පරිශීලකයා තවදුරටත් ව්‍යාකූල කිරීම සඳහා සමූහය පොදු ලේඛන අයිකන සහිත ස්වයං-නිස්සාරණ (SFX) ලේඛනාගාර වෙත මාරු විය. තර්ජන පොත ඒ ගැන ලිවීය (චීන භාෂාවෙන් සබැඳිය) ආරම්භයේදී, ස්වයං-නිස්සාරණය කරන RAR ගොනු ඉවත දමනු ලබන අතර .ocx දිගුව සහිත DLL ක්‍රියාත්මක කරනු ලැබේ, එහි අවසාන ගෙවීම කලින් ලේඛනගත කර ඇත. {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll. 2019 ජනවාරි මැද සිට, OceanLotus විසින් මෙම ක්‍රමය නැවත භාවිතා කරයි, නමුත් කාලයත් සමඟ සමහර වින්‍යාසයන් වෙනස් කරයි. මෙම කොටසේදී, අපි තාක්ෂණය සහ වෙනස්කම් ගැන කතා කරමු.

ආකර්ෂණයක් නිර්මාණය කිරීම

ලේඛනය THICH-THONG-LAC-HANH-THAP-THIEN-VIET-NAM (1).EXE (ශා-1: AC10F5B1D5ECAB22B7B418D6E98FA18E32BBDEAB) 2018 දී මුලින්ම සොයා ගන්නා ලදී. මෙම SFX ගොනුව මනසින් නිර්මාණය කර ඇත - විස්තරයේ (අනුවාද තොරතුරු) එය JPEG රූපයක් බව පවසයි. SFX ස්ක්‍රිප්ට් එක මෙහෙමයි.

ESET: OceanLotus Cybergroup Backdoor සඳහා නව බෙදාහැරීමේ යෝජනා ක්‍රම
රූපය 9. SFX විධාන

අනිෂ්ට මෘදුකාංග නැවත සකසයි {9ec60ada-a200-4159-b310-8071892ed0c3}.ocx (ශා-1: EFAC23B0E6395B1178BCF7086F72344B24C04DCC), මෙන්ම පින්තූරයක් 2018 thich thong lac.jpg.

රැවටිලි රූපය මේ වගේ ය:

ESET: OceanLotus Cybergroup Backdoor සඳහා නව බෙදාහැරීමේ යෝජනා ක්‍රම
රූපය 10. Decoy Image

SFX ස්ක්‍රිප්ට් එකේ පළමු පේළි දෙක OCX ගොනුව දෙවරක් අමතන බව ඔබ දැක ඇති නමුත් මෙය දෝෂයක් නොවේ.

{9ec60ada-a200-4159-b310-8071892ed0c3}.ocx (ShLd.dll)

OCX ගොනුවේ පාලන ප්‍රවාහය අනෙකුත් OceanLotus සංරචක වලට බෙහෙවින් සමාන වේ - බොහෝ විධාන අනුපිළිවෙලවල් JZ/JNZ и PUSH/RETනිසරු කේතය සමඟ අන්තර් සම්බන්ධිත.

ESET: OceanLotus Cybergroup Backdoor සඳහා නව බෙදාහැරීමේ යෝජනා ක්‍රම
රූපය 11. අපැහැදිලි කේතය

කසළ කේතය පෙරීමෙන් පසු අපනයනය DllRegisterServer, නමින් regsvr32.exe, පහත පරිදි:

ESET: OceanLotus Cybergroup Backdoor සඳහා නව බෙදාහැරීමේ යෝජනා ක්‍රම
රූපය 12. ප්රධාන ස්ථාපක කේතය

මූලික වශයෙන්, ඔබ ඇමතූ පළමු අවස්ථාව DllRegisterServer අපනයන කට්ටල රෙජිස්ට්‍රි අගය HKCUSOFTWAREClassesCLSID{E08A0F4B-1F65-4D4D-9A09-BD4625B9C5A1}Model DLL හි සංකේතාත්මක ඕෆ්සෙට් සඳහා (0x10001DE0).

ශ්‍රිතය දෙවන වර ඇමතූ විට, එය එම අගයම කියවා එම ලිපිනයේ ක්‍රියාත්මක වේ. මෙතැන් සිට, සම්පත කියවා ක්රියාත්මක කරනු ලබන අතර, බොහෝ ක්රියාවන් RAM හි සිදු කරනු ලැබේ.

Shellcode යනු පසුගිය OceanLotus ප්‍රචාරණ වලදී භාවිතා කරන ලද PE ලෝඩරයම වේ. එය අනුකරණය කළ හැකිය අපේ පිටපත. අවසානයේදී, ඔහු පහත වැටේ db293b825dcc419ba7dc2c49fa2757ee.dll, එය මතකයට පටවා ක්‍රියාත්මක කරයි DllEntry.

ඩීඑල්එල් එහි සම්පතේ අන්තර්ගතය නිස්සාරණය කරයි, විකේතනය කරයි (AES-256-CBC) සහ එය විසංයෝජනය කරයි (LZMA). සම්පතට විසංයෝජනය කිරීමට පහසු විශේෂිත ආකෘතියක් ඇත.

ESET: OceanLotus Cybergroup Backdoor සඳහා නව බෙදාහැරීමේ යෝජනා ක්‍රම
රූපය 13. ස්ථාපක වින්‍යාස ව්‍යුහය (KaitaiStruct Visualizer)

වින්‍යාසය පැහැදිලිව සකසා ඇත - වරප්‍රසාද මට්ටම අනුව, ද්විමය දත්ත ලියා ඇත %appdata%IntellogsBackgroundUploadTask.cpl හෝ %windir%System32BackgroundUploadTask.cpl (හෝ SysWOW64 64-bit පද්ධති සඳහා).

නම් කරන ලද කාර්යයක් නිර්මාණය කිරීමෙන් තවදුරටත් නොනැසී පැවතීම සහතික කෙරේ BackgroundUploadTask[junk].jobකොහෙද [junk] බයිට් කට්ටලයකි 0x9D и 0xA0.

කාර්යය යෙදුමේ නම %windir%System32control.exe, සහ පරාමිතියේ අගය බාගත කළ ද්විමය ගොනුව වෙත මාර්ගය වේ. සැඟවුණු කාර්යය සෑම දිනකම ක්රියාත්මක වේ.

ව්‍යුහාත්මකව, CPL ගොනුවක් යනු අභ්‍යන්තර නමක් සහිත DLL වේ ac8e06de0a6c4483af9837d96504127e.dll, ශ්‍රිතය අපනයනය කරන CPlApplet. මෙම ගොනුව එහි එකම සම්පත විකේතනය කරයි {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll, පසුව එම DLL පූරණය කර එහි එකම අපනයනය අමතන්න DllEntry.

පසුබිම් වින්‍යාස ගොනුව

පසුපස දොර වින්‍යාසය සංකේතනය කර එහි සම්පත් වල තැන්පත් කර ඇත. වින්‍යාස ගොනුවේ ව්‍යුහය පෙර එකට බෙහෙවින් සමාන ය.

ESET: OceanLotus Cybergroup Backdoor සඳහා නව බෙදාහැරීමේ යෝජනා ක්‍රම
රූපය 14. පසුබිම් වින්‍යාස ව්‍යුහය (KaitaiStruct Visualizer)

සමාන ව්‍යුහයක් තිබියදීත්, පෙන්වා ඇති දත්තවලට සාපේක්ෂව බොහෝ ක්ෂේත්‍රවල අගයන් යාවත්කාලීන කර ඇත අපේ පැරණි වාර්තාව.

ද්විමය අරාවේ පළමු මූලද්‍රව්‍යයේ DLL (HttpProv.dll MD5: 2559738D1BD4A999126F900C7357B759), Tencent විසින් හඳුනා ගන්නා ලදී. එත් export name එක binary එකෙන් අයින් කරලා තියෙන නිසා hashes ගැලපෙන්නේ නෑ.

අතිරේක පර්යේෂණ

සාම්පල එකතු කිරීම, අපි සමහර ලක්ෂණ කෙරෙහි අවධානය යොමු කළෙමු. දැන් විස්තර කර ඇති නියැදිය 2018 ජූලි මාසයේදී පමණ දර්ශනය වූ අතර, එය වැනි අනෙකුත් ඒවා වඩාත් මෑතකදී, ජනවාරි මැද - 2019 පෙබරවාරි මස මුලදී දර්ශනය විය. SFX ලේඛනාගාරයක් ආසාදන දෛශිකයක් ලෙස භාවිතා කරන ලද අතර, නීත්‍යානුකූල ව්‍යාජ ලේඛනයක් සහ අනිෂ්ට OCX ගොනුවක් අතහැර දමයි.

OceanLotus ව්‍යාජ වේලා මුද්‍රා භාවිතා කළද, SFX සහ OCX ගොනු වල වේලා මුද්‍රා සෑම විටම සමාන බව අපි දුටුවෙමු (0x57B0C36A (08/14/2016 @ 7:15pm UTC) සහ 0x498BE80F (02/06/2009 @ 7:34 am UTC) පිළිවෙලින්). කතුවරුන්ට එකම සැකිලි භාවිතා කරන සහ සමහර ලක්ෂණ වෙනස් කරන යම් ආකාරයක "නිර්මාණකරුවෙකු" ඇති බව මෙයින් ඇඟවෙනු ඇත.

2018 ආරම්භයේ සිට අප අධ්‍යයනය කර ඇති ලේඛන අතර, ප්‍රහාර එල්ල කරන රටවල් පිළිබඳ විවිධ නම් තිබේ:

- කාම්බෝජ මාධ්‍යයේ නව සම්බන්ධතා තොරතුරු (New).xls.exe
- 李建香 (个人简历).exe (CV එකක ව්‍යාජ pdf ලේඛනය)
- ප්‍රතිපෝෂණ, 28 ජූලි 29-2018 සිට USA හි රැලිය.exe

පිටුපස දොර සොයාගැනීමේ සිට {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll සහ පර්යේෂකයන් කිහිප දෙනෙකු විසින් එහි විශ්ලේෂණය ප්‍රකාශයට පත් කිරීම, අපි අනිෂ්ට මෘදුකාංග වින්‍යාස දත්තවල යම් යම් වෙනස්කම් නිරීක්ෂණය කළෙමු.

පළමුව, කතුවරුන් උපකාරක DLL DLL වලින් නම් ඉවත් කිරීමට පටන් ගත්හ (DNSprov.dll සහ අනුවාද දෙකක් HttpProv.dll) එවිට ක්‍රියාකරුවන් තුන්වන ඩීඑල්එල් (දෙවන අනුවාදය) ඇසුරුම් කිරීම නැවැත්වීය HttpProv.dll), එකක් පමණක් කාවැද්දීමට තෝරා ගැනීම.

දෙවනුව, බොහෝ IoCs ලබා ගත හැකි බැවින් හඳුනාගැනීම වැළැක්වීම සඳහා බොහෝ පසුබිම් වින්‍යාස ක්ෂේත්‍ර වෙනස් කර ඇත. කතුවරුන් විසින් වෙනස් කරන ලද වැදගත් ක්ෂේත්‍ර අතර පහත දැක්වේ:

  • වෙනස් කළ රෙජිස්ට්‍රි යතුර AppX (IoCs බලන්න)
  • mutex කේතන තන්තුව ("def", "abc", "ghi")
  • වරාය අංකය

අවසාන වශයෙන්, විශ්ලේෂණය කරන ලද සියලුම නව අනුවාද IoCs කොටසේ නව C&Cs ලැයිස්තුගත කර ඇත.

සොයා ගැනීම්

OceanLotus දිගටම පරිණාමය වෙමින් පවතී. සයිබර් සමූහය අවධානය යොමු කර ඇත්තේ මෙවලම් සහ ආකර්ෂණය පිරිපහදු කිරීම සහ පුළුල් කිරීම කෙරෙහි ය. කතුවරුන් අදහස් කරන වින්දිතයින්ට අදාළ අවධානය ආකර්ෂණය කර ගන්නා ලියකියවිලි සමඟ ද්වේෂසහගත ගෙවීම් ආවරණය කරයි. ඔවුන් නව පරිපථ සංවර්ධනය කරන අතර සමීකරණ සංස්කාරක සූරාකෑම වැනි ප්‍රසිද්ධියේ ලබා ගත හැකි මෙවලම් ද භාවිතා කරයි. එපමණක් නොව, ඔවුන් වින්දිතයන්ගේ යන්ත්‍රවල ඉතිරිව ඇති කෞතුක වස්තු සංඛ්‍යාව අඩු කිරීමට මෙවලම් වැඩි දියුණු කරමින් සිටින අතර එමඟින් ප්‍රති-වයිරස මෘදුකාංග මඟින් අනාවරණය කර ගැනීමේ අවස්ථාව අඩු කරයි.

සම්මුතියේ දර්ශක

සම්මුතියේ දර්ශක මෙන්ම MITER ATT&CK ගුණාංග ඇත Welisecurity මත и GitHub මත.

මූලාශ්රය: www.habr.com

අදහස් එක් කරන්න