I lenei pou o le a matou taʻuina atu ia te oe pe faʻapefea ona faʻaogaina talu ai nei e le vaega o le initaneti OceanLotus (APT32 ma APT-C-00) se tasi o faʻaoga avanoa lautele mo , fa'aletonu o le mafaufau i totonu o Microsoft Office, ma le auala e maua ai e le kulupu malware le fa'aauau i faiga fa'aletonu e aunoa ma le tu'u ai o se fa'ailoga. O le isi, matou te faʻamatalaina pe faʻapefea, talu mai le amataga o le 2019, o loʻo faʻaogaina e le vaega faʻamaumauga a le tagata lava ia e faʻapipiʻi ai le code.
O le OceanLotus e fa'apitoa i su'esu'ega i luga ole laiga, fa'atasi ai ma fa'amuamua o atunu'u i Southeast Asia. E faia e le au osofa'i pepa e tosina mai ai le mafaufau o tagata e ono afaina e faʻamaonia i latou e faʻataunuʻu le faitotoʻa i tua, ma o loʻo galulue foi i le atinaʻeina o meafaigaluega. O metotia na faʻaaogaina e fai ai le honeypots e eseese i osofaʻiga, mai faila "faʻalua faʻalautele", faila faʻamaumauga a le tagata lava ia, pepa faʻatasi ma macros, i faʻaoga masani.
Faʻaaogaina o se faʻaoga i le Microsoft Equation Editor
I le ogatotonu o le 2018, na faia ai e OceanLotus se faʻasalalauga e faʻaogaina ai le CVE-2017-11882 vaivai. O se tasi o pepa leaga a le vaega o le initaneti na suʻesuʻeina e tagata tomai faapitoa mai le 360 Threat Intelligence Center (), e aofia ai se faʻamatalaga auiliili o le faʻaogaina. O le pou o loʻo i lalo o loʻo i ai se aotelega o sea pepa leaga.
O le taimi muamua
O le pepa FW Report on demonstration of former CNRP in Republic of Korea.doc (SHA-1: D1357B284C951470066AAA7A8228190B88A5C7C3) e talitutusa ma le mea na taʻua i le suʻesuʻega i luga. E manaia aua o loʻo faʻatatau i tagata faʻaoga e fiafia i faiga faʻapolokiki Cambodia (CNRP - Cambodia National Rescue Party, faʻamavaeina i le faaiuga o le 2017). E ui i le .doc faʻaopoopoga, o le pepa o loʻo i le RTF format (silasila i le ata o loʻo i lalo), o loʻo i ai le code lapisi, ma ua faʻalavelave foi.
Ata 1. "Toe lapisi" ile RTF
E ui lava o loʻo i ai elemene faʻalavelave, e tatala lelei e Word lenei faila RTF. E pei ona mafai ona e vaʻai i le Ata 2, o loʻo i ai se fausaga EQNOLEFILEHDR ile offset 0xC00, sosoʻo ai ma le ulutala MTEF, ona sosoo ai lea ma le MTEF ulufale (Ata 3) mo le vai papatisoga.
Ata 2. FONT tau fa'aofiina
Ata 3.
E ono tafe mai i totonu o le fanua igoa, aua e le siakiina lona tele aʻo leʻi kopiina. O se igoa e umi tele e fa'aosofia ai se fa'aletonu. E pei ona mafai ona e vaʻai mai mea o loʻo i totonu o le faila RTF (offset 0xC26 i le Ata 2), o loʻo faʻatumu le paʻu i le shellcode sosoo ai ma se faʻatonuga (0x90) ma tuatusi toe faafoi 0x402114. O le tuatusi o se fa'atalanoaga elemene i totonu EQNEDT32.exe, e faailoa mai ai faatonuga RET. E mafua ai ona faasino le EIP i le amataga o le fanua igoao lo'o iai le shellcode.
Ata 4. Amataga o le fa'aogaina o le shellcode
РђРґСвРμСлу 0x45BD3C teuina se fesuiaiga e le toe fa'asinoina se'ia o'o atu i se fa'asino ile fausaga o lo'o utaina nei MTEFData. Ole isi vaega ole shellcode o lo'o iai iinei.
O le fa'amoemoega o le shellcode o le fa'atinoina lea o le vaega lona lua o le shellcode o lo'o fa'apipi'i i totonu o le pepa tatala. O le uluai shellcode e taumafai muamua e suʻe le faila faila o le pepa tatala e ala i le suʻeina o faʻamatalaga uma (NtQuerySystemInformation ma finauga SystemExtendedHandleInformation) ma siaki pe fetaui PID fa'amatala ma PID faiga WinWord ma pe na tatalaina le pepa i se ufimata avanoa - 0x12019F.
Ina ia faʻamaonia ua maua le au saʻo (ae le o le au i se isi pepa tatala), o mea o loʻo i totonu o le faila o loʻo faʻaalia e faʻaaoga ai le galuega. CreateFileMapping, ma siaki e le shellcode pe fetaui lelei le fa bytes o le pepa "yyyy"(Metotia Sa'o fuamoa). O le taimi lava e maua ai se fetaui, e kopi le pepa i se faila le tumau (GetTempPath) E faapefea ole.dll. Ona faitau ai lea o le 12 paita mulimuli o le pepa.
Ata 5. Fa'ai'uga o Fa'ailoga Fa'amaumauga
32-bit tau i le va o maka AABBCCDD и yyyy o le offset o le isi shellcode. E taʻua o le faʻaaogaina o le galuega CreateThread. Aveese le shellcode tutusa lea na faʻaaogaina e le OceanLotus vaega muamua. , lea na matou faʻasalalau ia Mati 2018, o loʻo galue pea mo le faʻataʻotoga lona lua.
Laasaga lona lua
Aveese Vaega
O igoa faila ma fa'atonuga e filifilia fa'amalosi. E filifili fa'afuase'i e le code le igoa o le faila faila po'o le DLL i totonu C:Windowssystem32. Ona faia lea o se talosaga i ana punaoa ma toe aumai le fanua FileDescription e fa'aaoga e fai ma igoa faila. Afai e le aoga lenei mea, e filifili fa'afuase'i e le code se igoa faila mai fa'atonuga %ProgramFiles% poʻo C:Windows (из GetWindowsDirectoryW). Он избегает использования имени, которое может конфликтовать с существующими файлами, и следит за тем, чтобы оно не содержало следующие слова: windows, Microsoft, desktop, system, system32 poʻo syswow64. Afai o lo'o iai le fa'atonuga, "NLS_{6 mataitusi}" e fa'aopoopo i le igoa.
alagāʻoa 0x102 e su'esu'e ma lafo faila i totonu %ProgramFiles% poʻo %AppData%, i se faila ua filifilia. Suia le taimi o le foafoaga ina ia tutusa le taua kernel32.dll.
Mo se faʻataʻitaʻiga, o le faila lea ma le lisi o faila na faia e ala i le filifilia o le faʻatinoina C:Windowssystem32TCPSVCS.exe e fai ma fa'amaumauga.
Ata 6. Aveese vaega eseese
Fa'atulagaina o punaoa 0x102 i se dropper e fai si lavelave. I se faapuupuuga, e aofia ai:
— Igoa faila
— Tele faila ma anotusi
— Fa'atonu fa'amau (COMPRESSION_FORMAT_LZNT1, fa'aaogaina e le galuega RtlDecompressBuffer)
O le faila muamua e toe setiina e pei o TCPSVCS.exe, lea e tatau AcroTranscoder.exe (ae faimai foi FileDescription, SHA-1: 2896738693A8F36CC7AD83EF1FA46F82F32BE5A3).
Atonu na e matauina o nisi faila DLL e sili atu nai lo le 11 MB. E mafua lenei mea ona o se paʻu vavalalata tele o faʻamatalaga faʻafuaseʻi o loʻo tuʻuina i totonu o le faila faila. Atonu o se auala lea e aloese ai mai le mauaina e nisi o oloa saogalemu.
Faʻamautinoa le tumau
alagāʻoa 0x101 i totonu o le dropper o loʻo i ai le lua 32-bit integers e faʻamaonia ai le auala e tatau ona tuʻuina atu ai le faʻamalosi. O le tau o le muamua o loʻo faʻamaonia ai pe faʻafefea ona faʻaauau pea le malware e aunoa ma aia tatau a le pule.
Fuafuaga 1. Fa'aauau le faiga e aunoa ma aia tatau fa'afoe
O le tau o le numera lona lua o loʻo faʻamaoti mai ai pe faʻafefea ona maua e le malware le faʻamalosi pe a faʻatautaia ma aia tatau.
Laulau 2. Fa'atonuga fa'aauau ma aia tatau fa'afoe
O le igoa tautua o le igoa faila e aunoa ma se fa'aopoopoga; o le igoa faʻaalia o le igoa o le faila, ae afai o loʻo i ai, o le manoa " e faʻapipiʻi i aiRevision 1” (e faateleina le numera seia maua se igoa e lei faaaogaina). Na fa'amautinoa e le aufaipisinisi o le fa'aauau e ala i le 'au'aunaga e malosi - pe a fa'aletonu, e tatau ona toe amata le tautua pe a uma le 1 sekone. Ona taua lea WOW64 O le ki resitala a le auʻaunaga fou ua seti i le 4, e faʻaalia ai o se auaunaga 32-bit.
O se galuega faʻatulagaina e faia e ala i le tele o fesoʻotaʻiga COM: ITaskScheduler, ITask, ITaskTrigger, IPersistFile и ITaskScheduler. O le mea moni, o le malware e fatuina se galuega natia, seti faʻamatalaga faʻamatalaga faʻatasi ai ma le faʻamatalaga o loʻo iai nei poʻo le pule, ona seti lea o le faʻaoso.
Ose galuega i aso uma ma le umi o le 24 itula ma vaeluaga i le va o le lua faʻatinoga o le 10 minute, o lona uiga o le a faʻaauau pea.
Laiti leaga
I la matou faʻataʻitaʻiga, o le faila faila TCPSVCS.exe (AcroTranscoder.exe) o se polokalama faʻatulafonoina e faʻapipiʻi ai DLL o loʻo toe seti faʻatasi ma ia. I lenei tulaga, e manaia Flash Video Extension.dll.
O lana galuega DLLMain na o le valaau i se isi galuega. O lo'o i ai nisi o fa'auiga le mautonu:
Ata 7. Predicate fuzzy
A maeʻa nei siaki faʻasese, e maua e le code se vaega .text faila TCPSVCS.exe, suia lona puipuiga i PAGE_EXECUTE_READWRITE ma toe tusia e ala i le faʻaopoopoina o faʻatonuga faʻailoga:
Ata 8. Fa'asologa o fa'atonuga
I le faaiuga i le tuatusi galuega FLVCore::Uninitialize(void), auina atu i fafo Flash Video Extension.dll, ua faaopoopo faatonuga CALL. O lona uiga pe a uma ona utaina le DLL leaga, pe a valaau le taʻavale WinMain в TCPSVCS.exe, ole a faasino le faasinoala ile NOP, mafua ai FLVCore::Uninitialize(void), isi laasaga.
O le galuega e na o le fatuina o se mutex e amata i {181C8480-A975-411C-AB0A-630DB8B0A221}sosoo ai ma le igoa ole igoa ole taimi nei. Ona faitau lea o le faila *.db3 ua lafo, lea o lo'o i ai le code-tuto'atasi tulaga, ma fa'aoga CreateThread e faatino le anotusi.
O mea o lo'o i totonu o le faila *.db3 o le shellcode lea e masani ona fa'aogaina e le vaega OceanLotus. Na matou toe tatalaina ma le manuia lana uta e faʻaaoga ai le emulator script na matou lolomiina .
O lo'o fa'ailoa mai e le tusitusiga le vaega mulimuli. O lenei vaega o se faitotoa pito i tua, lea ua uma ona matou iloiloina i totonu . E mafai ona fuafuaina e le GUID {A96B020F-0000-466F-A96D-A91BBF8EAC96} faila binary. O lo'o fa'ailogaina pea le fa'asologa o mea leaga i le puna'oa PE. E tutusa lelei le faatulagaga, ae o le C&C servers e ese mai i latou muamua:
- andreagahuvrauvin[.]com
- byronorenstein[.]com
- stienollmache[.]xyz
O le au a le OceanLotus ua toe faʻaalia se tuʻufaʻatasiga o metotia eseese e aloese ai mai le iloa. Na latou toe foʻi mai ma se ata "faʻamamaina" o le faʻamaʻi pipisi. E ala i le filifilia o igoa faʻafuaseʻi ma faʻatumu mea e mafai ona faʻatinoina i faʻamatalaga faʻafuaseʻi, latou te faʻaitiitia le numera o IoC faʻalagolago (faʻavae i luga o faʻailoga ma igoa faila). E le gata i lea, faʻafetai i le faʻaogaina o le uta DLL lona tolu, e manaʻomia e le au osofaʻi ona aveese le binary talafeagai. AcroTranscoder.
Fa'amaumauga a le tagata lava ia
Ina ua maeʻa faila RTF, na siitia atu le vaega i faʻamaumauga a le tagata lava ia (SFX) faʻatasi ai ma ata masani o pepa e faʻafememeaʻi atili ai le tagata faʻaoga. Na tusia e le Threatbook e uiga i lenei mea (). I le faʻalauiloaina, o faila RAR e faʻapipiʻiina e le tagata lava ia e pa'ū ma DLL faʻatasi ai ma se faʻaopoopoga .ocx ua faʻataunuʻuina, o le uta mulimuli lea na faʻamauina muamua. {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll. Talu mai le ogatotonu o Ianuari 2019, ua toe faʻaaogaina e OceanLotus lenei metotia, ae suia nisi faʻasalalauga i le taimi. I lenei vaega o le a tatou talanoa e uiga i metotia ma suiga.
Fausia se Maunu
O le pepa THICH-THONG-LAC-HANH-THAP-THIEN-VIET-NAM (1).EXE (SHA-1: AC10F5B1D5ECAB22B7B418D6E98FA18E32BBDEAB) na maua muamua i le 2018. O lenei faila SFX na faia ma le atamai - i le faʻamatalaga (Faʻamatalaga) e fai mai o se ata JPEG lea. O le SFX script e pei o lenei:
Ata 9. Poloaiga SFX
Toe setiina le malware {9ec60ada-a200-4159-b310-8071892ed0c3}.ocx (SHA-1: EFAC23B0E6395B1178BCF7086F72344B24C04DCC), faʻapea foʻi ma se ata 2018 thich thong lac.jpg.
O le ata fa'asese e fa'apea:
Ata 10. Ata fa'atau
Atonu na e matauina o laina muamua e lua i le SFX script e taʻu faalua le faila OCX, ae e le o se mea sese.
{9ec60ada-a200-4159-b310-8071892ed0c3}.ocx (ShLd.dll)
Ole fa'atonuga ole faila ole OCX e tutusa lelei ma isi vaega ole OceanLotus - tele fa'asologa o fa'atonuga JZ/JNZ и PUSH/RET, feliua'i ma le code lapisi.
Ata 11. Fa'ailoga fa'ailoga
A uma ona fa'amama le fa'ailoga leaga, auina atu i fafo DllRegisterServer, valaau regsvr32.exe, fa'apea:
Ata 12. Fa'ailoga fa'apipi'i fa'avae
Ole mea moni, ile valaau muamua DllRegisterServer auina atu i fafo seti le aoga resitala HKCUSOFTWAREClassesCLSID{E08A0F4B-1F65-4D4D-9A09-BD4625B9C5A1}Model mo fa'ailoga fa'ailoga i le DLL (0x10001DE0).
A vala'au le galuega i le taimi lona lua, e faitau le tau tutusa ma fa'atino i lena tuatusi. Mai iinei o le punaoa ma le tele o gaioiga i le RAM e faitau ma faʻatinoina.
O le shellcode o le PE lava lea o lo'o fa'aaogaina i fa'asalalauga OceanLotus ua mavae. E mafai ona faataitai i le faaaogaina . I le faaiuga na te toe setiina db293b825dcc419ba7dc2c49fa2757ee.dll, utaina i le manatua ma faatino DllEntry.
O le DLL e maua mai mea o loʻo i totonu o ana punaoa, faʻamalo (AES-256-CBC) ma decompresses (LZMA) ia. O le punaoa o loʻo i ai se faatulagaga faʻapitoa e faigofie ona faʻapipiʻi.
Ata 13. Fa'atonuga fa'apipi'i (KaitaiStruct Visualizer)
O le faʻatulagaga o loʻo faʻamaonia manino - e faʻatatau i le tulaga faʻapitoa, o faʻamaumauga binary o le a tusia i %appdata%IntellogsBackgroundUploadTask.cpl poʻo %windir%System32BackgroundUploadTask.cpl (po o SysWOW64 mo faiga 64-bit).
E faʻamautinoa atili le faʻamalosi e ala i le fatuina o se galuega ma le igoa BackgroundUploadTask[junk].jobfea [junk] fa'atusa se seti o paita 0x9D и 0xA0.
Igoa Talosaga Galuega %windir%System32control.exe, ma o le tau fa'ailoga o le ala lea i le faila binary download. O le galuega natia e alu i aso uma.
I le fausaga, o se faila CPL o se DLL ma se igoa totonu ac8e06de0a6c4483af9837d96504127e.dll, lea e auina atu i fafo se galuega CPlApplet. O le faila lea e fa'amuta lona puna'oa {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll, ona utaina lea o le DLL lea ma vala'au na'o le auina atu i fafo DllEntry.
Faiga fa'atūfale i tua
O le fa'aoga pito i tua o lo'o fa'ailogaina ma fa'apipi'i i ana punaoa. O le faʻatulagaina o le faila faʻapipiʻi e talitutusa lava ma le muamua.
Ata 14. Fa'atonuga o le faitoto'a tua (KaitaiStruct Visualizer)
E ui lava o le fausaga e tutusa, o le tele o tulaga tau fanua ua faʻafouina mai i latou o loʻo faʻaalia i totonu .
O le elemene muamua o le laina binary o loʻo i ai se DLL (HttpProv.dll MD5: 2559738D1BD4A999126F900C7357B759), . Ae talu ai na aveese le igoa auina atu i fafo mai le binary, e le fetaui ia hashes.
Su'esu'ega Faaopoopo
A o aoina faʻataʻitaʻiga, na matou matauina nisi o uiga. O le faʻataʻitaʻiga na faʻamatalaina na faʻaalia i le masina o Iulai 2018, ma isi e pei o lea na aliali mai talu ai nei i le ogatotonu o Ianuari i le amataga o Fepuari 2019. O le SFX archive na faʻaaogaina e avea o se faʻamaʻi pipisi, lafoaʻi se pepa faʻailoga faʻamaonia ma se faila leaga OSX.
E ui lava ina faʻaaogaina e OceanLotus faʻailoga taimi pepelo, na matou matauina o faʻamaufaʻailoga o faila SFX ma OCX e tutusa lava (0x57B0C36A (08/14/2016 @ 7:15pm UTC) ma 0x498BE80F (02/06/2009 @ 7:34am UTC). Atonu o loʻo faʻaalia ai o le au tusitala o loʻo i ai se ituaiga o "tagata mamanu" e faʻaogaina tutusa faʻataʻitaʻiga ma na o le suia o nisi uiga.
I totonu o pepa na matou suʻesuʻeina talu mai le amataga o le 2018, o loʻo i ai igoa eseese e faʻaalia ai atunuu e fiafia i ai le au osofaʻi:
— Le Fa'amatalaga Fa'afeso'ota'i Fou a Cambodia Media(New).xls.exe
— 李建香 (个人简历).exe (pepa pdf pepelo o se CV)
- manatu faaalia, Rally i Amerika mai Iulai 28-29, 2018.exe
Talu ona maua le faitotoa pito i tua {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll ma le lolomiina o ana auʻiliʻiliga e le tele o tagata suʻesuʻe, na matou matauina nisi o suiga i faʻamaumauga o faʻamaumauga malware.
Muamua, na amata ona aveese e tusitala igoa mai DLLs fesoasoani (DNSprov.dll ma lomiga e lua HttpProv.dll). Ona taofi lea e le au fai pisinisi le afifiina o le DLL lona tolu (o le lomiga lona lua HttpProv.dll), filifili e fa'apipi'i na'o le tasi.
Lona lua, o le tele o nofoaga faʻapipiʻi pito i tua na suia, e foliga mai e aloese mai le iloa ona o le tele o IoC ua avanoa. O fanua taua na suia e le au tusitala e aofia ai:
- Ua suia le ki resitala o AppX (silasila IoCs)
- mutex encoding manoa ("def", "abc", "ghi")
- numera uafu
Mulimuli ane, o lomiga fou uma na suʻesuʻeina e iai C&C fou o loʻo lisiina i le vaega IoCs.
sailiiliga
O loʻo faʻaauau pea ona atiaʻe le OceanLotus. Ole vaega ole initaneti e taulaʻi ile faʻamamaina ma le faʻalauteleina o meafaigaluega ma togafiti. E fa'apena e le au tusitala ia totogi leaga e fa'aaoga ai pepa fa'amata'i'au o lo'o fa'atatau i tagata ua fa'amoemoeina. Latou te atia'e ni polokalame fou ma fa'aogaina fo'i mea faigaluega fa'alaua'itele, e pei ole fa'aogaina ole Equation Editor. E le gata i lea, o loʻo latou faʻaleleia meafaigaluega e faʻaitiitia ai le aofaʻi o mea taua o loʻo totoe i masini a tagata afaina, ma faʻaitiitia ai le avanoa e iloa ai e antivirus software.
Faʻailoga o le fetuʻunaʻiga
O lo'o avanoa fa'ailoga o le fa'amalieina fa'apea uiga MITER ATT&CK и .
puna: www.habr.com
