இடுகையில், OceanLotus சைபர் குழுமம் (APT32 மற்றும் APT-C-00) சமீபத்தில் பொதுவில் கிடைக்கும் சுரண்டல்களில் ஒன்றை எவ்வாறு பயன்படுத்தியது என்பதை நாங்கள் உங்களுக்குக் கூறுவோம்.
OceanLotus இணைய உளவுத்துறையில் நிபுணத்துவம் பெற்றது, முன்னுரிமை இலக்குகள் தென்கிழக்கு ஆசியாவின் நாடுகள். தாக்குபவர்கள், சாத்தியமான பாதிக்கப்பட்டவர்களின் கவனத்தை ஈர்க்கும் வகையில் போலியான ஆவணங்களை உருவாக்கி, அவர்களை ஒரு பின்கதவைச் செயல்படுத்தும்படி அவர்களை நம்ப வைப்பதற்காகவும், மேலும் கருவிகளின் வளர்ச்சியிலும் பணியாற்றுகின்றனர். ஹனிபாட்களை உருவாக்கப் பயன்படுத்தப்படும் முறைகள் வெவ்வேறு தாக்குதல்களில் வேறுபடுகின்றன - "இரட்டை நீட்டிப்பு" கோப்புகள், சுயமாக பிரித்தெடுக்கும் காப்பகங்கள், மேக்ரோ ஆவணங்கள், நன்கு அறியப்பட்ட சுரண்டல்கள் வரை.
மைக்ரோசாஃப்ட் சமன்பாடு எடிட்டரில் சுரண்டலைப் பயன்படுத்துதல்
2018 ஆம் ஆண்டின் நடுப்பகுதியில், CVE-2017-11882 பாதிப்பைப் பயன்படுத்தி OceanLotus ஒரு பிரச்சாரத்தை நடத்தியது. சைபர் குழுவின் தீங்கிழைக்கும் ஆவணங்களில் ஒன்று 360 அச்சுறுத்தல் புலனாய்வு மைய நிபுணர்களால் பகுப்பாய்வு செய்யப்பட்டது (
முதல் நிலை
ஆவணம் FW Report on demonstration of former CNRP in Republic of Korea.doc
(SHA-1: D1357B284C951470066AAA7A8228190B88A5C7C3
) மேலே உள்ள ஆய்வில் குறிப்பிடப்பட்டதைப் போன்றது. இது கம்போடிய அரசியலில் ஆர்வமுள்ள பயனர்களை இலக்காகக் கொண்டது என்பது சுவாரஸ்யமானது (CNRP - கம்போடியா நேஷனல் சால்வேஷன் பார்ட்டி, 2017 இன் இறுதியில் கலைக்கப்பட்டது). .doc நீட்டிப்பு இருந்தபோதிலும், ஆவணம் RTF வடிவத்தில் உள்ளது (கீழே உள்ள படத்தைப் பார்க்கவும்), குப்பைக் குறியீட்டைக் கொண்டுள்ளது, மேலும் அது சிதைக்கப்பட்டுள்ளது.
படம் 1. RTF இல் குப்பை
தவறான கூறுகள் இருந்தபோதிலும், வேர்ட் இந்த RTF கோப்பை வெற்றிகரமாக திறக்கிறது. படம் 2 இல் நீங்கள் பார்ப்பது போல், இங்கே ஒரு EQNOLEFILEHDR அமைப்பு 0xC00 ஆஃப்செட்டில் உள்ளது, அதைத் தொடர்ந்து MTEF தலைப்பு மற்றும் எழுத்துருக்கான MTEF உள்ளீடு (படம் 3).
படம் 2. FONT பதிவு மதிப்புகள்
படம் 3.
சாத்தியமான களம் நிரம்பி வழிகிறது பெயர், ஏனெனில் அதன் அளவு நகலெடுக்கும் முன் சரிபார்க்கப்படவில்லை. மிக நீளமான பெயர் பாதிப்பைத் தூண்டுகிறது. RTF கோப்பின் உள்ளடக்கங்களிலிருந்து நீங்கள் பார்க்க முடியும் (படம் 0 இல் 26xC2 ஐ ஆஃப்செட் செய்யவும்), இடையகமானது ஷெல்கோடுடன் நிரப்பப்பட்டதைத் தொடர்ந்து போலி கட்டளை (0x90
) மற்றும் திரும்ப முகவரி 0x402114
. முகவரி என்பது ஒரு உரையாடல் உறுப்பு EQNEDT32.exe
அறிவுறுத்தல்களை சுட்டிக்காட்டுகிறது RET
. இது புலத்தின் தொடக்கத்தில் EIP ஐ சுட்டிக்காட்டுகிறது பெயர்ஷெல்கோட் கொண்டிருக்கும்.
படம் 4. சுரண்டல் ஷெல்கோடின் ஆரம்பம்
முகவரியை 0x45BD3C
தற்போது ஏற்றப்பட்ட கட்டமைப்பிற்கு ஒரு சுட்டியை அடையும் வரை dereferenced செய்யப்பட்ட ஒரு மாறியை சேமிக்கிறது MTEFData
. மீதமுள்ள ஷெல்கோட் இங்கே உள்ளது.
ஷெல்கோடின் நோக்கம் திறந்த ஆவணத்தில் பதிக்கப்பட்ட ஷெல்கோடின் இரண்டாவது பகுதியை செயல்படுத்துவதாகும். முதலில், அசல் ஷெல்கோடு அனைத்து கணினி விளக்கங்களையும் மீண்டும் மீண்டும் செய்வதன் மூலம் திறந்த ஆவணத்தின் கோப்பு விளக்கத்தைக் கண்டறிய முயற்சிக்கிறது (NtQuerySystemInformation
ஒரு வாதத்துடன் SystemExtendedHandleInformation
) மற்றும் அவை பொருந்துமா என்பதைச் சரிபார்க்கிறது என்பது PID விளக்கி மற்றும் என்பது PID செயல்முறை WinWord
மற்றும் ஆவணம் அணுகல் முகமூடியுடன் திறக்கப்பட்டதா - 0x12019F
.
சரியான கைப்பிடி கண்டுபிடிக்கப்பட்டதை உறுதிப்படுத்த (மற்றும் மற்றொரு திறந்த ஆவணத்தின் கைப்பிடி அல்ல), கோப்பின் உள்ளடக்கங்கள் செயல்பாட்டைப் பயன்படுத்தி காட்டப்படும் CreateFileMapping
, மற்றும் ஆவணத்தின் கடைசி நான்கு பைட்டுகள் பொருந்துமா என்பதை ஷெல்கோடு சரிபார்க்கிறது "yyyy
» (முட்டை வேட்டை முறை). ஒரு பொருத்தம் கண்டறியப்பட்டதும், ஆவணம் ஒரு தற்காலிக கோப்புறைக்கு நகலெடுக்கப்படும் (GetTempPath
) எப்படி ole.dll
. பின்னர் ஆவணத்தின் கடைசி 12 பைட்டுகள் படிக்கப்படுகின்றன.
படம் 5. ஆவணத்தின் இறுதி குறிப்பான்கள்
குறிப்பான்களுக்கு இடையே 32-பிட் மதிப்பு AABBCCDD
и yyyy
அடுத்த ஷெல்கோடின் ஆஃப்செட் ஆகும். இது ஒரு செயல்பாட்டுடன் அழைக்கப்படுகிறது CreateThread
. முன்பு OceanLotus குழு பயன்படுத்திய அதே ஷெல்கோடு பிரித்தெடுக்கப்பட்டது.
இரண்டாவது கட்டம்
கூறுகளை பிரித்தெடுத்தல்
கோப்பு மற்றும் அடைவு பெயர்கள் மாறும் வகையில் தேர்ந்தெடுக்கப்படுகின்றன. குறியீடு தோராயமாக இயங்கக்கூடிய அல்லது DLL கோப்பின் பெயரைத் தேர்ந்தெடுக்கிறது C:Windowssystem32
. அதன் பிறகு அதன் வளங்களுக்கு கோரிக்கை விடுத்து புலத்தை மீட்டெடுக்கிறது FileDescription
கோப்புறையின் பெயராக பயன்படுத்த. அது வேலை செய்யவில்லை என்றால், குறியீடு தோராயமாக கோப்பகங்களிலிருந்து ஒரு கோப்புறை பெயரைத் தேர்ந்தெடுக்கும் %ProgramFiles%
அல்லது C:Windows
(GetWindowsDirectoryW இலிருந்து). இது ஏற்கனவே உள்ள கோப்புகளுடன் முரண்படக்கூடிய பெயரைப் பயன்படுத்துவதைத் தவிர்க்கிறது மற்றும் பின்வரும் சொற்களைக் கொண்டிருக்கவில்லை என்பதை உறுதிப்படுத்துகிறது: windows
, Microsoft
, desktop
, system
, system32
அல்லது syswow64
. கோப்பகம் ஏற்கனவே இருந்தால், பெயருடன் "NLS_{6 எழுத்துகள்}" சேர்க்கப்படும்.
வள 0x102
பாகுபடுத்தப்பட்டு கோப்புகள் கொட்டப்பட்டன %ProgramFiles%
அல்லது %AppData%
, சீரற்ற முறையில் தேர்ந்தெடுக்கப்பட்ட கோப்புறைக்கு. உருவாக்கும் நேரம் அதே மதிப்புகளைக் கொண்டதாக மாற்றப்பட்டது kernel32.dll
.
எடுத்துக்காட்டாக, இயங்கக்கூடியதைத் தேர்ந்தெடுப்பதன் மூலம் உருவாக்கப்பட்ட கோப்புகளின் கோப்புறை மற்றும் பட்டியல் இங்கே C:Windowssystem32TCPSVCS.exe
தரவு ஆதாரமாக.
படம் 6. பல்வேறு கூறுகளின் பிரித்தெடுத்தல்
வள அமைப்பு 0x102
ஒரு துளிசொட்டியில் மிகவும் சிக்கலானது. சுருக்கமாக, இது கொண்டுள்ளது:
- கோப்பு பெயர்கள்
- கோப்பு அளவு மற்றும் உள்ளடக்கம்
- சுருக்க வடிவம் (COMPRESSION_FORMAT_LZNT1
செயல்பாட்டின் மூலம் பயன்படுத்தப்படுகிறது RtlDecompressBuffer
)
முதல் கோப்பு இவ்வாறு கொட்டப்பட்டது TCPSVCS.exe
, இது சட்டபூர்வமானது AcroTranscoder.exe
(படி FileDescription
, SHA-1: 2896738693A8F36CC7AD83EF1FA46F82F32BE5A3
).
சில DLL கோப்புகள் 11MB ஐ விட பெரியதாக இருப்பதை நீங்கள் கவனித்திருக்கலாம். ஏனென்றால், சீரற்ற தரவுகளின் பெரிய தொடர்ச்சியான இடையகமானது இயங்கக்கூடியதுக்குள் வைக்கப்பட்டுள்ளது. சில பாதுகாப்புத் தயாரிப்புகளால் கண்டறிவதைத் தவிர்க்க இது ஒரு வழியாக இருக்கலாம்.
நிலைத்தன்மையை உறுதி செய்தல்
வள 0x101
துளிசொட்டியில் இரண்டு 32-பிட் முழு எண்கள் உள்ளன, அவை நிலைத்தன்மையை எவ்வாறு செயல்படுத்த வேண்டும் என்பதைக் குறிப்பிடுகிறது. நிர்வாகி உரிமைகள் இல்லாமல் தீம்பொருள் எவ்வாறு நீடிக்கும் என்பதை முதல் மதிப்பின் மதிப்பு குறிப்பிடுகிறது.
அட்டவணை 1. நிர்வாகி அல்லாத நிலைத்தன்மை பொறிமுறை
இரண்டாவது முழு எண்ணின் மதிப்பு, நிர்வாகச் சிறப்புரிமைகளுடன் இயங்குவதன் மூலம் தீம்பொருள் எவ்வாறு நிலைத்தன்மையை உறுதிசெய்ய வேண்டும் என்பதைக் குறிப்பிடுகிறது.
அட்டவணை 2. நிர்வாகி நிலைத்தன்மை பொறிமுறை
சேவையின் பெயர் நீட்டிப்பு இல்லாத கோப்பு பெயர்; காட்சி பெயர் கோப்புறையின் பெயர், ஆனால் அது ஏற்கனவே இருந்தால், சரம் "Revision 1
” (பயன்படுத்தப்படாத பெயர் கண்டுபிடிக்கப்படும் வரை எண்ணிக்கை அதிகரிக்கும்). ஆபரேட்டர்கள், சேவையின் மூலம் நீடித்து நிலைத்திருப்பது உறுதியானது - தோல்வியுற்றால், 1 வினாடிக்குப் பிறகு சேவையை மறுதொடக்கம் செய்ய வேண்டும். பின்னர் மதிப்பு WOW64
சேவைக்கான புதிய பதிவு விசை 4 ஆக அமைக்கப்பட்டுள்ளது, இது 32-பிட் சேவை என்பதைக் குறிக்கிறது.
பல COM இடைமுகங்கள் மூலம் திட்டமிடப்பட்ட பணி உருவாக்கப்படுகிறது: ITaskScheduler
, ITask
, ITaskTrigger
, IPersistFile
и ITaskScheduler
. முக்கியமாக, தீம்பொருள் ஒரு மறைக்கப்பட்ட பணியை உருவாக்குகிறது, தற்போதைய பயனர் அல்லது நிர்வாகி தகவலுடன் கணக்குத் தகவலை அமைக்கிறது, பின்னர் தூண்டுதலை அமைக்கிறது.
இது 24 மணிநேரம் மற்றும் 10 நிமிடங்களுக்கு இரண்டு ஓட்டங்களுக்கு இடைப்பட்ட இடைவெளியுடன் தினசரி பணியாகும், அதாவது இது தொடர்ந்து இயங்கும்.
தீங்கிழைக்கும் பிட்
எங்கள் எடுத்துக்காட்டில், இயங்கக்கூடியது TCPSVCS.exe
(AcroTranscoder.exe
) என்பது, அதனுடன் கைவிடப்பட்ட DLLகளை ஏற்றும் முறையான மென்பொருளாகும். இந்த வழக்கில், இது ஆர்வமாக உள்ளது Flash Video Extension.dll
.
அதன் செயல்பாடு DLLMain
மற்றொரு செயல்பாட்டை அழைக்கிறது. சில தெளிவற்ற கணிப்புகள் உள்ளன:
படம் 7. Fuzzy predicates
இந்த தவறான சோதனைகளுக்குப் பிறகு, குறியீடு ஒரு பகுதியைப் பெறுகிறது .text
கோப்பு TCPSVCS.exe
, அதன் பாதுகாப்பை மாற்றுகிறது PAGE_EXECUTE_READWRITE
போலி வழிமுறைகளுடன் அதை மேலெழுதுகிறது:
படம் 8. வழிமுறைகளின் வரிசை
செயல்பாட்டின் முகவரிக்கு இறுதியில் FLVCore::Uninitialize(void)
, ஏற்றுமதி செய்யப்பட்டது Flash Video Extension.dll
, அறிவுறுத்தல் சேர்க்கப்பட்டுள்ளது CALL
. இதன் பொருள் தீங்கிழைக்கும் DLL ஏற்றப்பட்ட பிறகு, இயக்க நேரம் அழைக்கும் போது WinMain
в TCPSVCS.exe
, அறிவுறுத்தல் சுட்டிக்காட்டி NOP ஐ சுட்டிக்காட்டும், இதன் விளைவாக அழைப்பு வரும் FLVCore::Uninitialize(void)
, அடுத்த நிலை.
செயல்பாடு ஒரு மியூடெக்ஸை உருவாக்குகிறது {181C8480-A975-411C-AB0A-630DB8B0A221}
தற்போதைய பயனர்பெயர் தொடர்ந்து. பின்னர் அது டம்ப் செய்யப்பட்ட *.db3 கோப்பைப் படிக்கிறது, அதில் நிலை-சுயாதீன குறியீடு உள்ளது, மேலும் பயன்படுத்துகிறது CreateThread
உள்ளடக்கத்தை செயல்படுத்த.
*.db3 கோப்பின் உள்ளடக்கமானது OceanLotus குழு பொதுவாக பயன்படுத்தும் ஷெல்கோட் ஆகும். நாங்கள் வெளியிட்ட எமுலேட்டர் ஸ்கிரிப்டைப் பயன்படுத்தி அதன் பேலோடை மீண்டும் வெற்றிகரமாக டிகம்ப்ரஸ் செய்தோம்.
ஸ்கிரிப்ட் இறுதி கட்டத்தை மீட்டெடுக்கிறது. இந்த கூறு நாம் ஏற்கனவே பகுப்பாய்வு செய்த பின்கதவு ஆகும் {A96B020F-0000-466F-A96D-A91BBF8EAC96}
பைனரி கோப்பு. தீம்பொருள் உள்ளமைவு இன்னும் PE ஆதாரத்தில் குறியாக்கம் செய்யப்பட்டுள்ளது. இது தோராயமாக அதே உள்ளமைவைக் கொண்டுள்ளது, ஆனால் C&C சேவையகங்கள் முந்தையவற்றிலிருந்து வேறுபட்டவை:
- andreagahuvrauvin[.]com
- byronorenstein[.]com
- stienollmache[.]xyz
OceanLotus குழு மீண்டும் கண்டறிதலைத் தவிர்க்க பல்வேறு நுட்பங்களின் கலவையை நிரூபிக்கிறது. அவர்கள் தொற்று செயல்முறையின் "முடிக்கப்பட்ட" திட்டத்துடன் திரும்பினர். சீரற்ற பெயர்களைத் தேர்ந்தெடுப்பதன் மூலமும், சீரற்ற தரவுகளுடன் இயங்கக்கூடியவற்றை நிரப்புவதன் மூலமும், அவை நம்பகமான IoC களின் எண்ணிக்கையைக் குறைக்கின்றன (ஹாஷ்கள் மற்றும் கோப்புப் பெயர்களின் அடிப்படையில்). மேலும், மூன்றாம் தரப்பு DLL ஏற்றுதலைப் பயன்படுத்துவதன் மூலம், தாக்குபவர்கள் முறையான பைனரியை மட்டுமே அகற்ற வேண்டும் AcroTranscoder
.
சுயமாக பிரித்தெடுக்கும் காப்பகங்கள்
RTF கோப்புகளுக்குப் பிறகு, குழுவானது பயனரை மேலும் குழப்பும் வகையில் பொதுவான ஆவண ஐகான்களுடன் சுய-பிரித்தல் (SFX) காப்பகங்களுக்கு மாறியது. அச்சுறுத்தல் புத்தகம் அதைப் பற்றி எழுதியது ({A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll
. ஜனவரி 2019 நடுப்பகுதியில் இருந்து, OceanLotus இந்த நுட்பத்தை மீண்டும் பயன்படுத்துகிறது, ஆனால் காலப்போக்கில் சில உள்ளமைவுகளை மாற்றுகிறது. இந்த பிரிவில், தொழில்நுட்பம் மற்றும் மாற்றங்களைப் பற்றி பேசுவோம்.
ஒரு கவர்ச்சியை உருவாக்குதல்
ஆவணம் THICH-THONG-LAC-HANH-THAP-THIEN-VIET-NAM (1).EXE
(SHA-1: AC10F5B1D5ECAB22B7B418D6E98FA18E32BBDEAB
) முதலில் 2018 இல் கண்டுபிடிக்கப்பட்டது. இந்த SFX கோப்பு மனதைக் கொண்டு உருவாக்கப்பட்டது - விளக்கத்தில் (பதிப்பு தகவல்) இது ஒரு JPEG படம் என்று கூறுகிறது. SFX ஸ்கிரிப்ட் இதுபோல் தெரிகிறது:
படம் 9. SFX கட்டளைகள்
தீம்பொருள் மீட்டமைக்கப்படுகிறது {9ec60ada-a200-4159-b310-8071892ed0c3}.ocx
(SHA-1: EFAC23B0E6395B1178BCF7086F72344B24C04DCC
), அத்துடன் ஒரு படம் 2018 thich thong lac.jpg.
சிதைவு படம் இதுபோல் தெரிகிறது:
படம் 10. டிகோய் படம்
SFX ஸ்கிரிப்ட்டின் முதல் இரண்டு வரிகள் OCX கோப்பை இரண்டு முறை அழைப்பதை நீங்கள் கவனித்திருக்கலாம், ஆனால் இது ஒரு பிழை அல்ல.
{9ec60ada-a200-4159-b310-8071892ed0c3}.ocx (ShLd.dll)
OCX கோப்பின் கட்டுப்பாட்டு ஓட்டம் மற்ற OceanLotus கூறுகளுடன் மிகவும் ஒத்திருக்கிறது - பல கட்டளை வரிசைகள் JZ/JNZ
и PUSH/RET
குப்பைக் குறியீட்டுடன் இணைக்கப்பட்டுள்ளது.
படம் 11. தெளிவற்ற குறியீடு
குப்பைக் குறியீட்டை வடிகட்டிய பிறகு, ஏற்றுமதி DllRegisterServer
, அழைக்கப்பட்டது regsvr32.exe
, பின்வருமாறு:
படம் 12. முதன்மை நிறுவி குறியீடு
அடிப்படையில், நீங்கள் முதல் முறையாக அழைக்கிறீர்கள் DllRegisterServer
ஏற்றுமதி பதிவேடு மதிப்பை அமைக்கிறது HKCUSOFTWAREClassesCLSID{E08A0F4B-1F65-4D4D-9A09-BD4625B9C5A1}Model
DLL இல் மறைகுறியாக்கப்பட்ட ஆஃப்செட்டுக்கு (0x10001DE0
).
செயல்பாடு இரண்டாவது முறையாக அழைக்கப்படும் போது, அது அதே மதிப்பைப் படித்து அந்த முகவரியில் செயல்படுத்துகிறது. இங்கிருந்து, ஆதாரம் படிக்கப்பட்டு செயல்படுத்தப்படுகிறது, மேலும் பல செயல்கள் ரேமில் செய்யப்படுகின்றன.
கடந்த OceanLotus பிரச்சாரங்களில் பயன்படுத்தப்பட்ட அதே PE ஏற்றிதான் ஷெல்கோடு. அதை பின்பற்றலாம் db293b825dcc419ba7dc2c49fa2757ee.dll
, அதை நினைவகத்தில் ஏற்றி இயக்குகிறது DllEntry
.
DLL ஆனது அதன் வளத்தின் உள்ளடக்கங்களை பிரித்தெடுத்து, மறைகுறியாக்குகிறது (AES-256-CBC) மற்றும் டிகம்ப்ரஸ் (LZMA) செய்கிறது. வளமானது ஒரு குறிப்பிட்ட வடிவமைப்பைக் கொண்டுள்ளது, அது சிதைப்பதற்கு எளிதானது.
படம் 13. நிறுவி உள்ளமைவு அமைப்பு (KaitaiStruct Visualizer)
உள்ளமைவு வெளிப்படையாக அமைக்கப்பட்டுள்ளது - சிறப்புரிமை அளவைப் பொறுத்து, பைனரி தரவு எழுதப்படும் %appdata%IntellogsBackgroundUploadTask.cpl
அல்லது %windir%System32BackgroundUploadTask.cpl
(அல்லது SysWOW64
64-பிட் அமைப்புகளுக்கு).
பெயரிடப்பட்ட பணியை உருவாக்குவதன் மூலம் மேலும் நிலைத்தன்மை உறுதி செய்யப்படுகிறது BackgroundUploadTask[junk].job
அங்கு [junk]
பைட்டுகளின் தொகுப்பாகும் 0x9D
и 0xA0
.
பணி விண்ணப்பத்தின் பெயர் %windir%System32control.exe
, மற்றும் அளவுருவின் மதிப்பு பதிவிறக்கம் செய்யப்பட்ட பைனரி கோப்பிற்கான பாதையாகும். மறைக்கப்பட்ட பணி ஒவ்வொரு நாளும் இயங்கும்.
கட்டமைப்பு ரீதியாக, ஒரு CPL கோப்பு என்பது ஒரு உள் பெயரைக் கொண்ட DLL ஆகும் ac8e06de0a6c4483af9837d96504127e.dll
, இது செயல்பாட்டை ஏற்றுமதி செய்கிறது CPlApplet
. இந்தக் கோப்பு அதன் ஒரே ஆதாரத்தை மறைகுறியாக்குகிறது {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll
, பின்னர் அந்த DLL ஐ ஏற்றுகிறது மற்றும் அதன் ஒரே ஏற்றுமதியை அழைக்கிறது DllEntry
.
பின்கதவு உள்ளமைவு கோப்பு
பின்கதவு உள்ளமைவு குறியாக்கம் செய்யப்பட்டு அதன் ஆதாரங்களில் உட்பொதிக்கப்பட்டுள்ளது. உள்ளமைவு கோப்பின் அமைப்பு முந்தையதைப் போலவே உள்ளது.
படம் 14. பின்கதவு கட்டமைப்பு அமைப்பு (KaitaiStruct Visualizer)
ஒரே மாதிரியான அமைப்பு இருந்தபோதிலும், காட்டப்பட்டுள்ள தரவுகளுடன் ஒப்பிடும்போது பல துறைகளின் மதிப்புகள் புதுப்பிக்கப்பட்டுள்ளன
பைனரி வரிசையின் முதல் உறுப்பு DLL ஐக் கொண்டுள்ளது (HttpProv.dll
MD5: 2559738D1BD4A999126F900C7357B759
),
கூடுதல் ஆராய்ச்சி
மாதிரிகளை சேகரித்து, சில குணாதிசயங்களுக்கு கவனம் செலுத்தினோம். இப்போது விவரிக்கப்பட்ட மாதிரி ஜூலை 2018 இல் தோன்றியது, மேலும் இது போன்ற மற்றவை சமீபத்தில் ஜனவரி நடுப்பகுதியில் - பிப்ரவரி 2019 தொடக்கத்தில் தோன்றின. ஒரு SFX காப்பகம் ஒரு தொற்று திசையனாகப் பயன்படுத்தப்பட்டது, முறையான டிகோய் ஆவணம் மற்றும் தீங்கிழைக்கும் OCX கோப்பை கைவிடப்பட்டது.
OceanLotus போலி நேர முத்திரைகளைப் பயன்படுத்தினாலும், SFX மற்றும் OCX கோப்புகளின் நேர முத்திரைகள் எப்போதும் ஒரே மாதிரியாக இருப்பதை நாங்கள் கவனித்தோம் (0x57B0C36A
(08/14/2016 @ 7:15pm UTC) மற்றும் 0x498BE80F
(02/06/2009 @ 7:34am UTC) முறையே). ஆசிரியர்கள் ஒரே மாதிரியான வார்ப்புருக்களைப் பயன்படுத்தும் மற்றும் சில குணாதிசயங்களை மாற்றும் சில வகையான "கட்டமைப்பாளர்"களைக் கொண்டிருப்பதை இது குறிக்கலாம்.
2018 ஆம் ஆண்டின் தொடக்கத்தில் இருந்து நாங்கள் ஆய்வு செய்த ஆவணங்களில், தாக்கும் நாடுகளைக் குறிக்கும் பல்வேறு பெயர்கள் உள்ளன:
- கம்போடியா மீடியாவின் புதிய தொடர்புத் தகவல்(New).xls.exe
- 李建香 (个人简历).exe (ஒரு CVயின் போலி pdf ஆவணம்)
— பின்னூட்டம், ஜூலை 28-29, 2018.exe இல் அமெரிக்காவில் பேரணி
பின்கதவு கண்டுபிடிக்கப்பட்டதிலிருந்து {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll
மற்றும் பல ஆராய்ச்சியாளர்களால் அதன் பகுப்பாய்வின் வெளியீடு, தீம்பொருள் உள்ளமைவு தரவுகளில் சில மாற்றங்களைக் கண்டோம்.
முதலில், ஆசிரியர்கள் உதவி DLL DLL களில் இருந்து பெயர்களை நீக்கத் தொடங்கினர் (DNSprov.dll
மற்றும் இரண்டு பதிப்புகள் HttpProv.dll
) பின்னர் ஆபரேட்டர்கள் மூன்றாவது டிஎல்எல் (இரண்டாம் பதிப்பு) பேக்கேஜிங் செய்வதை நிறுத்தினர் HttpProv.dll
), ஒன்றை மட்டும் உட்பொதிக்க தேர்வு.
இரண்டாவதாக, பல பின்கதவு உள்ளமைவு புலங்கள் மாற்றப்பட்டுள்ளன, அநேகமாக பல IoCகள் கிடைத்துள்ளதால் கண்டறிதலைத் தவிர்க்கலாம். ஆசிரியர்களால் மாற்றியமைக்கப்பட்ட முக்கியமான துறைகளில் பின்வருபவை:
- மாற்றப்பட்ட ரெஜிஸ்ட்ரி கீ AppX (IoC களைப் பார்க்கவும்)
- மியூடெக்ஸ் குறியாக்க சரம் ("def", "abc", "ghi")
- போர்ட் எண்
இறுதியாக, பகுப்பாய்வு செய்யப்பட்ட அனைத்து புதிய பதிப்புகளும் IoCs பிரிவில் பட்டியலிடப்பட்ட புதிய C&Cகளைக் கொண்டுள்ளன.
கண்டுபிடிப்புகள்
OceanLotus தொடர்ந்து உருவாகி வருகிறது. சைபர் குழுவானது கருவிகள் மற்றும் கவர்ச்சிகளை செம்மைப்படுத்துவதிலும் விரிவுபடுத்துவதிலும் கவனம் செலுத்துகிறது. நோக்கம் பாதிக்கப்பட்டவர்களுக்குத் தொடர்புடைய கவனத்தை ஈர்க்கும் ஆவணங்களுடன் தீங்கிழைக்கும் பேலோடுகளை ஆசிரியர்கள் மறைக்கின்றனர். அவை புதிய சுற்றுகளை உருவாக்குகின்றன மற்றும் சமன்பாடு எடிட்டர் சுரண்டல் போன்ற பொதுவில் கிடைக்கும் கருவிகளையும் பயன்படுத்துகின்றன. மேலும், அவர்கள் பாதிக்கப்பட்டவர்களின் இயந்திரங்களில் எஞ்சியிருக்கும் கலைப்பொருட்களின் எண்ணிக்கையைக் குறைப்பதற்கான கருவிகளை மேம்படுத்துகின்றனர், இதன் மூலம் வைரஸ் தடுப்பு மென்பொருளால் கண்டறியப்படும் வாய்ப்பைக் குறைக்கின்றனர்.
சமரசத்தின் குறிகாட்டிகள்
சமரசத்தின் குறிகாட்டிகள் மற்றும் MITER ATT&CK பண்புக்கூறுகள் உள்ளன
ஆதாரம்: www.habr.com