🥇ESET: புதிய OceanLotus பின்புற விநியோக திட்டங்கள்

இடுகையில், OceanLotus சைபர் குழுமம் (APT32 மற்றும் APT-C-00) சமீபத்தில் பொதுவில் கிடைக்கும் சுரண்டல்களில் ஒன்றை எவ்வாறு பயன்படுத்தியது என்பதை நாங்கள் உங்களுக்குக் கூறுவோம். CVE-2017-11882, மைக்ரோசாஃப்ட் ஆபிஸில் நினைவக ஊழல் பாதிப்புகள் மற்றும் குழுவின் தீம்பொருள் எவ்வாறு சமரசம் செய்யப்பட்ட கணினிகளில் தடயங்களை விட்டுவிடாமல் நிலைத்திருப்பதை உறுதி செய்கிறது. அடுத்து, 2019 ஆம் ஆண்டின் தொடக்கத்தில் இருந்து, குழுவானது எவ்வாறு சுயமாக பிரித்தெடுக்கும் காப்பகங்களைப் பயன்படுத்தி குறியீட்டை இயக்குகிறது என்பதை விவரிக்கிறோம்.

OceanLotus இணைய உளவுத்துறையில் நிபுணத்துவம் பெற்றது, முன்னுரிமை இலக்குகள் தென்கிழக்கு ஆசியாவின் நாடுகள். தாக்குபவர்கள், சாத்தியமான பாதிக்கப்பட்டவர்களின் கவனத்தை ஈர்க்கும் வகையில் போலியான ஆவணங்களை உருவாக்கி, அவர்களை ஒரு பின்கதவைச் செயல்படுத்தும்படி அவர்களை நம்ப வைப்பதற்காகவும், மேலும் கருவிகளின் வளர்ச்சியிலும் பணியாற்றுகின்றனர். ஹனிபாட்களை உருவாக்கப் பயன்படுத்தப்படும் முறைகள் வெவ்வேறு தாக்குதல்களில் வேறுபடுகின்றன - "இரட்டை நீட்டிப்பு" கோப்புகள், சுயமாக பிரித்தெடுக்கும் காப்பகங்கள், மேக்ரோ ஆவணங்கள், நன்கு அறியப்பட்ட சுரண்டல்கள் வரை.

மைக்ரோசாஃப்ட் சமன்பாடு எடிட்டரில் சுரண்டலைப் பயன்படுத்துதல்

2018 ஆம் ஆண்டின் நடுப்பகுதியில், CVE-2017-11882 பாதிப்பைப் பயன்படுத்தி OceanLotus ஒரு பிரச்சாரத்தை நடத்தியது. சைபர் குழுவின் தீங்கிழைக்கும் ஆவணங்களில் ஒன்று 360 அச்சுறுத்தல் புலனாய்வு மைய நிபுணர்களால் பகுப்பாய்வு செய்யப்பட்டது (சீன மொழியில் படிப்பு), சுரண்டலின் விரிவான விளக்கம் உட்பட. கீழே உள்ள இடுகை அத்தகைய தீங்கிழைக்கும் ஆவணத்தின் மேலோட்டமாகும்.

முதல் நிலை

ஆவணம் FW Report on demonstration of former CNRP in Republic of Korea.doc (SHA-1: D1357B284C951470066AAA7A8228190B88A5C7C3) மேலே உள்ள ஆய்வில் குறிப்பிடப்பட்டதைப் போன்றது. இது கம்போடிய அரசியலில் ஆர்வமுள்ள பயனர்களை இலக்காகக் கொண்டது என்பது சுவாரஸ்யமானது (CNRP - கம்போடியா நேஷனல் சால்வேஷன் பார்ட்டி, 2017 இன் இறுதியில் கலைக்கப்பட்டது). .doc நீட்டிப்பு இருந்தபோதிலும், ஆவணம் RTF வடிவத்தில் உள்ளது (கீழே உள்ள படத்தைப் பார்க்கவும்), குப்பைக் குறியீட்டைக் கொண்டுள்ளது, மேலும் அது சிதைக்கப்பட்டுள்ளது.

படம் 1. RTF இல் குப்பை

தவறான கூறுகள் இருந்தபோதிலும், வேர்ட் இந்த RTF கோப்பை வெற்றிகரமாக திறக்கிறது. படம் 2 இல் நீங்கள் பார்ப்பது போல், இங்கே ஒரு EQNOLEFILEHDR அமைப்பு 0xC00 ஆஃப்செட்டில் உள்ளது, அதைத் தொடர்ந்து MTEF தலைப்பு மற்றும் எழுத்துருக்கான MTEF உள்ளீடு (படம் 3).

படம் 2. FONT பதிவு மதிப்புகள்

படம் 3. FONT பதிவு வடிவம்

சாத்தியமான களம் நிரம்பி வழிகிறது பெயர், ஏனெனில் அதன் அளவு நகலெடுக்கும் முன் சரிபார்க்கப்படவில்லை. மிக நீளமான பெயர் பாதிப்பைத் தூண்டுகிறது. RTF கோப்பின் உள்ளடக்கங்களிலிருந்து நீங்கள் பார்க்க முடியும் (படம் 0 இல் 26xC2 ஐ ஆஃப்செட் செய்யவும்), இடையகமானது ஷெல்கோடுடன் நிரப்பப்பட்டதைத் தொடர்ந்து போலி கட்டளை (0x90) மற்றும் திரும்ப முகவரி 0x402114. முகவரி என்பது ஒரு உரையாடல் உறுப்பு EQNEDT32.exeஅறிவுறுத்தல்களை சுட்டிக்காட்டுகிறது RET. இது புலத்தின் தொடக்கத்தில் EIP ஐ சுட்டிக்காட்டுகிறது பெயர்ஷெல்கோட் கொண்டிருக்கும்.

படம் 4. சுரண்டல் ஷெல்கோடின் ஆரம்பம்

முகவரியை 0x45BD3C தற்போது ஏற்றப்பட்ட கட்டமைப்பிற்கு ஒரு சுட்டியை அடையும் வரை dereferenced செய்யப்பட்ட ஒரு மாறியை சேமிக்கிறது MTEFData. மீதமுள்ள ஷெல்கோட் இங்கே உள்ளது.

ஷெல்கோடின் நோக்கம் திறந்த ஆவணத்தில் பதிக்கப்பட்ட ஷெல்கோடின் இரண்டாவது பகுதியை செயல்படுத்துவதாகும். முதலில், அசல் ஷெல்கோடு அனைத்து கணினி விளக்கங்களையும் மீண்டும் மீண்டும் செய்வதன் மூலம் திறந்த ஆவணத்தின் கோப்பு விளக்கத்தைக் கண்டறிய முயற்சிக்கிறது (NtQuerySystemInformation ஒரு வாதத்துடன் SystemExtendedHandleInformation) மற்றும் அவை பொருந்துமா என்பதைச் சரிபார்க்கிறது என்பது PID விளக்கி மற்றும் என்பது PID செயல்முறை WinWord மற்றும் ஆவணம் அணுகல் முகமூடியுடன் திறக்கப்பட்டதா - 0x12019F.

சரியான கைப்பிடி கண்டுபிடிக்கப்பட்டதை உறுதிப்படுத்த (மற்றும் மற்றொரு திறந்த ஆவணத்தின் கைப்பிடி அல்ல), கோப்பின் உள்ளடக்கங்கள் செயல்பாட்டைப் பயன்படுத்தி காட்டப்படும் CreateFileMapping, மற்றும் ஆவணத்தின் கடைசி நான்கு பைட்டுகள் பொருந்துமா என்பதை ஷெல்கோடு சரிபார்க்கிறது "yyyy» (முட்டை வேட்டை முறை). ஒரு பொருத்தம் கண்டறியப்பட்டதும், ஆவணம் ஒரு தற்காலிக கோப்புறைக்கு நகலெடுக்கப்படும் (GetTempPath) எப்படி ole.dll. பின்னர் ஆவணத்தின் கடைசி 12 பைட்டுகள் படிக்கப்படுகின்றன.

படம் 5. ஆவணத்தின் இறுதி குறிப்பான்கள்

குறிப்பான்களுக்கு இடையே 32-பிட் மதிப்பு AABBCCDD и yyyy அடுத்த ஷெல்கோடின் ஆஃப்செட் ஆகும். இது ஒரு செயல்பாட்டுடன் அழைக்கப்படுகிறது CreateThread. முன்பு OceanLotus குழு பயன்படுத்திய அதே ஷெல்கோடு பிரித்தெடுக்கப்பட்டது. பைதான் எமுலேஷன் ஸ்கிரிப்ட், நாங்கள் மார்ச் 2018 இல் வெளியிட்டோம், இது இன்னும் இரண்டாம் நிலை டம்ப்பிற்காக இயங்குகிறது.

இரண்டாவது கட்டம்

கூறுகளை பிரித்தெடுத்தல்

கோப்பு மற்றும் அடைவு பெயர்கள் மாறும் வகையில் தேர்ந்தெடுக்கப்படுகின்றன. குறியீடு தோராயமாக இயங்கக்கூடிய அல்லது DLL கோப்பின் பெயரைத் தேர்ந்தெடுக்கிறது C:Windowssystem32. அதன் பிறகு அதன் வளங்களுக்கு கோரிக்கை விடுத்து புலத்தை மீட்டெடுக்கிறது FileDescription கோப்புறையின் பெயராக பயன்படுத்த. அது வேலை செய்யவில்லை என்றால், குறியீடு தோராயமாக கோப்பகங்களிலிருந்து ஒரு கோப்புறை பெயரைத் தேர்ந்தெடுக்கும் %ProgramFiles% அல்லது C:Windows (из GetWindowsDirectoryW). Он избегает использования имени, которое может конфликтовать с существующими файлами, и следит за тем, чтобы оно не содержало следующие слова: windows, Microsoft, desktop, system, system32 அல்லது syswow64. கோப்பகம் ஏற்கனவே இருந்தால், பெயருடன் "NLS_{6 எழுத்துகள்}" சேர்க்கப்படும்.

வள 0x102 பாகுபடுத்தப்பட்டு கோப்புகள் கொட்டப்பட்டன %ProgramFiles% அல்லது %AppData%, சீரற்ற முறையில் தேர்ந்தெடுக்கப்பட்ட கோப்புறைக்கு. உருவாக்கும் நேரம் அதே மதிப்புகளைக் கொண்டதாக மாற்றப்பட்டது kernel32.dll.

எடுத்துக்காட்டாக, இயங்கக்கூடியதைத் தேர்ந்தெடுப்பதன் மூலம் உருவாக்கப்பட்ட கோப்புகளின் கோப்புறை மற்றும் பட்டியல் இங்கே C:Windowssystem32TCPSVCS.exe தரவு ஆதாரமாக.

படம் 6. பல்வேறு கூறுகளின் பிரித்தெடுத்தல்

வள அமைப்பு 0x102 ஒரு துளிசொட்டியில் மிகவும் சிக்கலானது. சுருக்கமாக, இது கொண்டுள்ளது:
- கோப்பு பெயர்கள்
- கோப்பு அளவு மற்றும் உள்ளடக்கம்
- சுருக்க வடிவம் (COMPRESSION_FORMAT_LZNT1செயல்பாட்டின் மூலம் பயன்படுத்தப்படுகிறது RtlDecompressBuffer)

முதல் கோப்பு இவ்வாறு கொட்டப்பட்டது TCPSVCS.exe, இது சட்டபூர்வமானது AcroTranscoder.exe (படி FileDescription, SHA-1: 2896738693A8F36CC7AD83EF1FA46F82F32BE5A3).

சில DLL கோப்புகள் 11MB ஐ விட பெரியதாக இருப்பதை நீங்கள் கவனித்திருக்கலாம். ஏனென்றால், சீரற்ற தரவுகளின் பெரிய தொடர்ச்சியான இடையகமானது இயங்கக்கூடியதுக்குள் வைக்கப்பட்டுள்ளது. சில பாதுகாப்புத் தயாரிப்புகளால் கண்டறிவதைத் தவிர்க்க இது ஒரு வழியாக இருக்கலாம்.

நிலைத்தன்மையை உறுதி செய்தல்

வள 0x101 துளிசொட்டியில் இரண்டு 32-பிட் முழு எண்கள் உள்ளன, அவை நிலைத்தன்மையை எவ்வாறு செயல்படுத்த வேண்டும் என்பதைக் குறிப்பிடுகிறது. நிர்வாகி உரிமைகள் இல்லாமல் தீம்பொருள் எவ்வாறு நீடிக்கும் என்பதை முதல் மதிப்பின் மதிப்பு குறிப்பிடுகிறது.

அட்டவணை 1. நிர்வாகி அல்லாத நிலைத்தன்மை பொறிமுறை

இரண்டாவது முழு எண்ணின் மதிப்பு, நிர்வாகச் சிறப்புரிமைகளுடன் இயங்குவதன் மூலம் தீம்பொருள் எவ்வாறு நிலைத்தன்மையை உறுதிசெய்ய வேண்டும் என்பதைக் குறிப்பிடுகிறது.

அட்டவணை 2. நிர்வாகி நிலைத்தன்மை பொறிமுறை

சேவையின் பெயர் நீட்டிப்பு இல்லாத கோப்பு பெயர்; காட்சி பெயர் கோப்புறையின் பெயர், ஆனால் அது ஏற்கனவே இருந்தால், சரம் "Revision 1” (பயன்படுத்தப்படாத பெயர் கண்டுபிடிக்கப்படும் வரை எண்ணிக்கை அதிகரிக்கும்). ஆபரேட்டர்கள், சேவையின் மூலம் நீடித்து நிலைத்திருப்பது உறுதியானது - தோல்வியுற்றால், 1 வினாடிக்குப் பிறகு சேவையை மறுதொடக்கம் செய்ய வேண்டும். பின்னர் மதிப்பு WOW64 சேவைக்கான புதிய பதிவு விசை 4 ஆக அமைக்கப்பட்டுள்ளது, இது 32-பிட் சேவை என்பதைக் குறிக்கிறது.

பல COM இடைமுகங்கள் மூலம் திட்டமிடப்பட்ட பணி உருவாக்கப்படுகிறது: ITaskScheduler, ITask, ITaskTrigger, IPersistFile и ITaskScheduler. முக்கியமாக, தீம்பொருள் ஒரு மறைக்கப்பட்ட பணியை உருவாக்குகிறது, தற்போதைய பயனர் அல்லது நிர்வாகி தகவலுடன் கணக்குத் தகவலை அமைக்கிறது, பின்னர் தூண்டுதலை அமைக்கிறது.

இது 24 மணிநேரம் மற்றும் 10 நிமிடங்களுக்கு இரண்டு ஓட்டங்களுக்கு இடைப்பட்ட இடைவெளியுடன் தினசரி பணியாகும், அதாவது இது தொடர்ந்து இயங்கும்.

தீங்கிழைக்கும் பிட்

எங்கள் எடுத்துக்காட்டில், இயங்கக்கூடியது TCPSVCS.exe (AcroTranscoder.exe) என்பது, அதனுடன் கைவிடப்பட்ட DLLகளை ஏற்றும் முறையான மென்பொருளாகும். இந்த வழக்கில், இது ஆர்வமாக உள்ளது Flash Video Extension.dll.

அதன் செயல்பாடு DLLMain மற்றொரு செயல்பாட்டை அழைக்கிறது. சில தெளிவற்ற கணிப்புகள் உள்ளன:

படம் 7. Fuzzy predicates

இந்த தவறான சோதனைகளுக்குப் பிறகு, குறியீடு ஒரு பகுதியைப் பெறுகிறது .text கோப்பு TCPSVCS.exe, அதன் பாதுகாப்பை மாற்றுகிறது PAGE_EXECUTE_READWRITE போலி வழிமுறைகளுடன் அதை மேலெழுதுகிறது:

படம் 8. வழிமுறைகளின் வரிசை

செயல்பாட்டின் முகவரிக்கு இறுதியில் FLVCore::Uninitialize(void), ஏற்றுமதி செய்யப்பட்டது Flash Video Extension.dll, அறிவுறுத்தல் சேர்க்கப்பட்டுள்ளது CALL. இதன் பொருள் தீங்கிழைக்கும் DLL ஏற்றப்பட்ட பிறகு, இயக்க நேரம் அழைக்கும் போது WinMain в TCPSVCS.exe, அறிவுறுத்தல் சுட்டிக்காட்டி NOP ஐ சுட்டிக்காட்டும், இதன் விளைவாக அழைப்பு வரும் FLVCore::Uninitialize(void), அடுத்த நிலை.

செயல்பாடு ஒரு மியூடெக்ஸை உருவாக்குகிறது {181C8480-A975-411C-AB0A-630DB8B0A221}தற்போதைய பயனர்பெயர் தொடர்ந்து. பின்னர் அது டம்ப் செய்யப்பட்ட *.db3 கோப்பைப் படிக்கிறது, அதில் நிலை-சுயாதீன குறியீடு உள்ளது, மேலும் பயன்படுத்துகிறது CreateThread உள்ளடக்கத்தை செயல்படுத்த.

*.db3 கோப்பின் உள்ளடக்கமானது OceanLotus குழு பொதுவாக பயன்படுத்தும் ஷெல்கோட் ஆகும். நாங்கள் வெளியிட்ட எமுலேட்டர் ஸ்கிரிப்டைப் பயன்படுத்தி அதன் பேலோடை மீண்டும் வெற்றிகரமாக டிகம்ப்ரஸ் செய்தோம். GitHub இல்.

ஸ்கிரிப்ட் இறுதி கட்டத்தை மீட்டெடுக்கிறது. இந்த கூறு நாம் ஏற்கனவே பகுப்பாய்வு செய்த பின்கதவு ஆகும் முந்தைய OceanLotus ஆய்வு. இதை GUID மூலம் தீர்மானிக்க முடியும் {A96B020F-0000-466F-A96D-A91BBF8EAC96} பைனரி கோப்பு. தீம்பொருள் உள்ளமைவு இன்னும் PE ஆதாரத்தில் குறியாக்கம் செய்யப்பட்டுள்ளது. இது தோராயமாக அதே உள்ளமைவைக் கொண்டுள்ளது, ஆனால் C&C சேவையகங்கள் முந்தையவற்றிலிருந்து வேறுபட்டவை:

- andreagahuvrauvin[.]com - byronorenstein[.]com - stienollmache[.]xyz

OceanLotus குழு மீண்டும் கண்டறிதலைத் தவிர்க்க பல்வேறு நுட்பங்களின் கலவையை நிரூபிக்கிறது. அவர்கள் தொற்று செயல்முறையின் "முடிக்கப்பட்ட" திட்டத்துடன் திரும்பினர். சீரற்ற பெயர்களைத் தேர்ந்தெடுப்பதன் மூலமும், சீரற்ற தரவுகளுடன் இயங்கக்கூடியவற்றை நிரப்புவதன் மூலமும், அவை நம்பகமான IoC களின் எண்ணிக்கையைக் குறைக்கின்றன (ஹாஷ்கள் மற்றும் கோப்புப் பெயர்களின் அடிப்படையில்). மேலும், மூன்றாம் தரப்பு DLL ஏற்றுதலைப் பயன்படுத்துவதன் மூலம், தாக்குபவர்கள் முறையான பைனரியை மட்டுமே அகற்ற வேண்டும் AcroTranscoder.

சுயமாக பிரித்தெடுக்கும் காப்பகங்கள்

RTF கோப்புகளுக்குப் பிறகு, குழுவானது பயனரை மேலும் குழப்பும் வகையில் பொதுவான ஆவண ஐகான்களுடன் சுய-பிரித்தல் (SFX) காப்பகங்களுக்கு மாறியது. அச்சுறுத்தல் புத்தகம் அதைப் பற்றி எழுதியது (சீன மொழியில் இணைப்பு) தொடக்கத்தில், சுயமாக பிரித்தெடுக்கும் RAR கோப்புகள் டம்ப் செய்யப்பட்டு, .ocx நீட்டிப்புடன் கூடிய DLLகள் செயல்படுத்தப்படுகின்றன, இதன் இறுதி பேலோட் முன்பு ஆவணப்படுத்தப்பட்டது. {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll. ஜனவரி 2019 நடுப்பகுதியில் இருந்து, OceanLotus இந்த நுட்பத்தை மீண்டும் பயன்படுத்துகிறது, ஆனால் காலப்போக்கில் சில உள்ளமைவுகளை மாற்றுகிறது. இந்த பிரிவில், தொழில்நுட்பம் மற்றும் மாற்றங்களைப் பற்றி பேசுவோம்.

ஒரு கவர்ச்சியை உருவாக்குதல்

ஆவணம் THICH-THONG-LAC-HANH-THAP-THIEN-VIET-NAM (1).EXE (SHA-1: AC10F5B1D5ECAB22B7B418D6E98FA18E32BBDEAB) முதலில் 2018 இல் கண்டுபிடிக்கப்பட்டது. இந்த SFX கோப்பு மனதைக் கொண்டு உருவாக்கப்பட்டது - விளக்கத்தில் (பதிப்பு தகவல்) இது ஒரு JPEG படம் என்று கூறுகிறது. SFX ஸ்கிரிப்ட் இதுபோல் தெரிகிறது:

படம் 9. SFX கட்டளைகள்

தீம்பொருள் மீட்டமைக்கப்படுகிறது {9ec60ada-a200-4159-b310-8071892ed0c3}.ocx (SHA-1: EFAC23B0E6395B1178BCF7086F72344B24C04DCC), அத்துடன் ஒரு படம் 2018 thich thong lac.jpg.

சிதைவு படம் இதுபோல் தெரிகிறது:

படம் 10. டிகோய் படம்

SFX ஸ்கிரிப்ட்டின் முதல் இரண்டு வரிகள் OCX கோப்பை இரண்டு முறை அழைப்பதை நீங்கள் கவனித்திருக்கலாம், ஆனால் இது ஒரு பிழை அல்ல.

{9ec60ada-a200-4159-b310-8071892ed0c3}.ocx (ShLd.dll)

OCX கோப்பின் கட்டுப்பாட்டு ஓட்டம் மற்ற OceanLotus கூறுகளுடன் மிகவும் ஒத்திருக்கிறது - பல கட்டளை வரிசைகள் JZ/JNZ и PUSH/RETகுப்பைக் குறியீட்டுடன் இணைக்கப்பட்டுள்ளது.

படம் 11. தெளிவற்ற குறியீடு

குப்பைக் குறியீட்டை வடிகட்டிய பிறகு, ஏற்றுமதி DllRegisterServer, அழைக்கப்பட்டது regsvr32.exe, பின்வருமாறு:

படம் 12. முதன்மை நிறுவி குறியீடு

அடிப்படையில், நீங்கள் முதல் முறையாக அழைக்கிறீர்கள் DllRegisterServer ஏற்றுமதி பதிவேடு மதிப்பை அமைக்கிறது HKCUSOFTWAREClassesCLSID{E08A0F4B-1F65-4D4D-9A09-BD4625B9C5A1}Model DLL இல் மறைகுறியாக்கப்பட்ட ஆஃப்செட்டுக்கு (0x10001DE0).

செயல்பாடு இரண்டாவது முறையாக அழைக்கப்படும் போது, அது அதே மதிப்பைப் படித்து அந்த முகவரியில் செயல்படுத்துகிறது. இங்கிருந்து, ஆதாரம் படிக்கப்பட்டு செயல்படுத்தப்படுகிறது, மேலும் பல செயல்கள் ரேமில் செய்யப்படுகின்றன.

கடந்த OceanLotus பிரச்சாரங்களில் பயன்படுத்தப்பட்ட அதே PE ஏற்றிதான் ஷெல்கோடு. அதை பின்பற்றலாம் எங்கள் ஸ்கிரிப்ட். இறுதியில், அவர் கைவிடுகிறார் db293b825dcc419ba7dc2c49fa2757ee.dll, அதை நினைவகத்தில் ஏற்றி இயக்குகிறது DllEntry.

DLL ஆனது அதன் வளத்தின் உள்ளடக்கங்களை பிரித்தெடுத்து, மறைகுறியாக்குகிறது (AES-256-CBC) மற்றும் டிகம்ப்ரஸ் (LZMA) செய்கிறது. வளமானது ஒரு குறிப்பிட்ட வடிவமைப்பைக் கொண்டுள்ளது, அது சிதைப்பதற்கு எளிதானது.

படம் 13. நிறுவி உள்ளமைவு அமைப்பு (KaitaiStruct Visualizer)

உள்ளமைவு வெளிப்படையாக அமைக்கப்பட்டுள்ளது - சிறப்புரிமை அளவைப் பொறுத்து, பைனரி தரவு எழுதப்படும் %appdata%IntellogsBackgroundUploadTask.cpl அல்லது %windir%System32BackgroundUploadTask.cpl (அல்லது SysWOW64 64-பிட் அமைப்புகளுக்கு).

பெயரிடப்பட்ட பணியை உருவாக்குவதன் மூலம் மேலும் நிலைத்தன்மை உறுதி செய்யப்படுகிறது BackgroundUploadTask[junk].jobஅங்கு [junk] பைட்டுகளின் தொகுப்பாகும் 0x9D и 0xA0.

பணி விண்ணப்பத்தின் பெயர் %windir%System32control.exe, மற்றும் அளவுருவின் மதிப்பு பதிவிறக்கம் செய்யப்பட்ட பைனரி கோப்பிற்கான பாதையாகும். மறைக்கப்பட்ட பணி ஒவ்வொரு நாளும் இயங்கும்.

கட்டமைப்பு ரீதியாக, ஒரு CPL கோப்பு என்பது ஒரு உள் பெயரைக் கொண்ட DLL ஆகும் ac8e06de0a6c4483af9837d96504127e.dll, இது செயல்பாட்டை ஏற்றுமதி செய்கிறது CPlApplet. இந்தக் கோப்பு அதன் ஒரே ஆதாரத்தை மறைகுறியாக்குகிறது {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll, பின்னர் அந்த DLL ஐ ஏற்றுகிறது மற்றும் அதன் ஒரே ஏற்றுமதியை அழைக்கிறது DllEntry.

பின்கதவு உள்ளமைவு கோப்பு

பின்கதவு உள்ளமைவு குறியாக்கம் செய்யப்பட்டு அதன் ஆதாரங்களில் உட்பொதிக்கப்பட்டுள்ளது. உள்ளமைவு கோப்பின் அமைப்பு முந்தையதைப் போலவே உள்ளது.

படம் 14. பின்கதவு கட்டமைப்பு அமைப்பு (KaitaiStruct Visualizer)

ஒரே மாதிரியான அமைப்பு இருந்தபோதிலும், காட்டப்பட்டுள்ள தரவுகளுடன் ஒப்பிடும்போது பல துறைகளின் மதிப்புகள் புதுப்பிக்கப்பட்டுள்ளன எங்கள் பழைய அறிக்கை.

பைனரி வரிசையின் முதல் உறுப்பு DLL ஐக் கொண்டுள்ளது (HttpProv.dll MD5: 2559738D1BD4A999126F900C7357B759), டென்சென்ட் மூலம் அடையாளம் காணப்பட்டது. ஆனால் பைனரியில் இருந்து ஏற்றுமதி பெயர் நீக்கப்பட்டதால், ஹாஷ்கள் பொருந்தவில்லை.

கூடுதல் ஆராய்ச்சி

மாதிரிகளை சேகரித்து, சில குணாதிசயங்களுக்கு கவனம் செலுத்தினோம். இப்போது விவரிக்கப்பட்ட மாதிரி ஜூலை 2018 இல் தோன்றியது, மேலும் இது போன்ற மற்றவை சமீபத்தில் ஜனவரி நடுப்பகுதியில் - பிப்ரவரி 2019 தொடக்கத்தில் தோன்றின. ஒரு SFX காப்பகம் ஒரு தொற்று திசையனாகப் பயன்படுத்தப்பட்டது, முறையான டிகோய் ஆவணம் மற்றும் தீங்கிழைக்கும் OCX கோப்பை கைவிடப்பட்டது.

OceanLotus போலி நேர முத்திரைகளைப் பயன்படுத்தினாலும், SFX மற்றும் OCX கோப்புகளின் நேர முத்திரைகள் எப்போதும் ஒரே மாதிரியாக இருப்பதை நாங்கள் கவனித்தோம் (0x57B0C36A (08/14/2016 @ 7:15pm UTC) மற்றும் 0x498BE80F (02/06/2009 @ 7:34am UTC) முறையே). ஆசிரியர்கள் ஒரே மாதிரியான வார்ப்புருக்களைப் பயன்படுத்தும் மற்றும் சில குணாதிசயங்களை மாற்றும் சில வகையான "கட்டமைப்பாளர்"களைக் கொண்டிருப்பதை இது குறிக்கலாம்.

2018 ஆம் ஆண்டின் தொடக்கத்தில் இருந்து நாங்கள் ஆய்வு செய்த ஆவணங்களில், தாக்கும் நாடுகளைக் குறிக்கும் பல்வேறு பெயர்கள் உள்ளன:

- கம்போடியா மீடியாவின் புதிய தொடர்புத் தகவல்(New).xls.exe
- 李建香 (个人简历).exe (ஒரு CVயின் போலி pdf ஆவணம்)
— பின்னூட்டம், ஜூலை 28-29, 2018.exe இல் அமெரிக்காவில் பேரணி

பின்கதவு கண்டுபிடிக்கப்பட்டதிலிருந்து {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll மற்றும் பல ஆராய்ச்சியாளர்களால் அதன் பகுப்பாய்வின் வெளியீடு, தீம்பொருள் உள்ளமைவு தரவுகளில் சில மாற்றங்களைக் கண்டோம்.

முதலில், ஆசிரியர்கள் உதவி DLL DLL களில் இருந்து பெயர்களை நீக்கத் தொடங்கினர் (DNSprov.dll மற்றும் இரண்டு பதிப்புகள் HttpProv.dll) பின்னர் ஆபரேட்டர்கள் மூன்றாவது டிஎல்எல் (இரண்டாம் பதிப்பு) பேக்கேஜிங் செய்வதை நிறுத்தினர் HttpProv.dll), ஒன்றை மட்டும் உட்பொதிக்க தேர்வு.

இரண்டாவதாக, பல பின்கதவு உள்ளமைவு புலங்கள் மாற்றப்பட்டுள்ளன, அநேகமாக பல IoCகள் கிடைத்துள்ளதால் கண்டறிதலைத் தவிர்க்கலாம். ஆசிரியர்களால் மாற்றியமைக்கப்பட்ட முக்கியமான துறைகளில் பின்வருபவை:

மாற்றப்பட்ட ரெஜிஸ்ட்ரி கீ AppX (IoC களைப் பார்க்கவும்)
மியூடெக்ஸ் குறியாக்க சரம் ("def", "abc", "ghi")
போர்ட் எண்

இறுதியாக, பகுப்பாய்வு செய்யப்பட்ட அனைத்து புதிய பதிப்புகளும் IoCs பிரிவில் பட்டியலிடப்பட்ட புதிய C&Cகளைக் கொண்டுள்ளன.

கண்டுபிடிப்புகள்

OceanLotus தொடர்ந்து உருவாகி வருகிறது. சைபர் குழுவானது கருவிகள் மற்றும் கவர்ச்சிகளை செம்மைப்படுத்துவதிலும் விரிவுபடுத்துவதிலும் கவனம் செலுத்துகிறது. நோக்கம் பாதிக்கப்பட்டவர்களுக்குத் தொடர்புடைய கவனத்தை ஈர்க்கும் ஆவணங்களுடன் தீங்கிழைக்கும் பேலோடுகளை ஆசிரியர்கள் மறைக்கின்றனர். அவை புதிய சுற்றுகளை உருவாக்குகின்றன மற்றும் சமன்பாடு எடிட்டர் சுரண்டல் போன்ற பொதுவில் கிடைக்கும் கருவிகளையும் பயன்படுத்துகின்றன. மேலும், அவர்கள் பாதிக்கப்பட்டவர்களின் இயந்திரங்களில் எஞ்சியிருக்கும் கலைப்பொருட்களின் எண்ணிக்கையைக் குறைப்பதற்கான கருவிகளை மேம்படுத்துகின்றனர், இதன் மூலம் வைரஸ் தடுப்பு மென்பொருளால் கண்டறியப்படும் வாய்ப்பைக் குறைக்கின்றனர்.