புரோஹோஸ்டர் > Блог > நிர்வாகம் > ESET: OceanLotus Cybergroup Backdoor க்கான புதிய டெலிவரி திட்டங்கள்

ESET: OceanLotus Cybergroup Backdoor க்கான புதிய டெலிவரி திட்டங்கள்

இடுகையில், OceanLotus சைபர் குழுமம் (APT32 மற்றும் APT-C-00) சமீபத்தில் பொதுவில் கிடைக்கும் சுரண்டல்களில் ஒன்றை எவ்வாறு பயன்படுத்தியது என்பதை நாங்கள் உங்களுக்குக் கூறுவோம். CVE-2017-11882, மைக்ரோசாஃப்ட் ஆபிஸில் நினைவக ஊழல் பாதிப்புகள் மற்றும் குழுவின் தீம்பொருள் எவ்வாறு சமரசம் செய்யப்பட்ட கணினிகளில் தடயங்களை விட்டுவிடாமல் நிலைத்திருப்பதை உறுதி செய்கிறது. அடுத்து, 2019 ஆம் ஆண்டின் தொடக்கத்தில் இருந்து, குழுவானது எவ்வாறு சுயமாக பிரித்தெடுக்கும் காப்பகங்களைப் பயன்படுத்தி குறியீட்டை இயக்குகிறது என்பதை விவரிக்கிறோம்.

OceanLotus இணைய உளவுத்துறையில் நிபுணத்துவம் பெற்றது, முன்னுரிமை இலக்குகள் தென்கிழக்கு ஆசியாவின் நாடுகள். தாக்குபவர்கள், சாத்தியமான பாதிக்கப்பட்டவர்களின் கவனத்தை ஈர்க்கும் வகையில் போலியான ஆவணங்களை உருவாக்கி, அவர்களை ஒரு பின்கதவைச் செயல்படுத்தும்படி அவர்களை நம்ப வைப்பதற்காகவும், மேலும் கருவிகளின் வளர்ச்சியிலும் பணியாற்றுகின்றனர். ஹனிபாட்களை உருவாக்கப் பயன்படுத்தப்படும் முறைகள் வெவ்வேறு தாக்குதல்களில் வேறுபடுகின்றன - "இரட்டை நீட்டிப்பு" கோப்புகள், சுயமாக பிரித்தெடுக்கும் காப்பகங்கள், மேக்ரோ ஆவணங்கள், நன்கு அறியப்பட்ட சுரண்டல்கள் வரை.

ESET: OceanLotus Cybergroup Backdoor க்கான புதிய டெலிவரி திட்டங்கள்

மைக்ரோசாஃப்ட் சமன்பாடு எடிட்டரில் சுரண்டலைப் பயன்படுத்துதல்

2018 ஆம் ஆண்டின் நடுப்பகுதியில், CVE-2017-11882 பாதிப்பைப் பயன்படுத்தி OceanLotus ஒரு பிரச்சாரத்தை நடத்தியது. சைபர் குழுவின் தீங்கிழைக்கும் ஆவணங்களில் ஒன்று 360 அச்சுறுத்தல் புலனாய்வு மைய நிபுணர்களால் பகுப்பாய்வு செய்யப்பட்டது (சீன மொழியில் படிப்பு), சுரண்டலின் விரிவான விளக்கம் உட்பட. கீழே உள்ள இடுகை அத்தகைய தீங்கிழைக்கும் ஆவணத்தின் மேலோட்டமாகும்.

முதல் நிலை

ஆவணம் FW Report on demonstration of former CNRP in Republic of Korea.doc (SHA-1: D1357B284C951470066AAA7A8228190B88A5C7C3) மேலே உள்ள ஆய்வில் குறிப்பிடப்பட்டதைப் போன்றது. இது கம்போடிய அரசியலில் ஆர்வமுள்ள பயனர்களை இலக்காகக் கொண்டது என்பது சுவாரஸ்யமானது (CNRP - கம்போடியா நேஷனல் சால்வேஷன் பார்ட்டி, 2017 இன் இறுதியில் கலைக்கப்பட்டது). .doc நீட்டிப்பு இருந்தபோதிலும், ஆவணம் RTF வடிவத்தில் உள்ளது (கீழே உள்ள படத்தைப் பார்க்கவும்), குப்பைக் குறியீட்டைக் கொண்டுள்ளது, மேலும் அது சிதைக்கப்பட்டுள்ளது.

ESET: OceanLotus Cybergroup Backdoor க்கான புதிய டெலிவரி திட்டங்கள்
படம் 1. RTF இல் குப்பை

தவறான கூறுகள் இருந்தபோதிலும், வேர்ட் இந்த RTF கோப்பை வெற்றிகரமாக திறக்கிறது. படம் 2 இல் நீங்கள் பார்ப்பது போல், இங்கே ஒரு EQNOLEFILEHDR அமைப்பு 0xC00 ஆஃப்செட்டில் உள்ளது, அதைத் தொடர்ந்து MTEF தலைப்பு மற்றும் எழுத்துருக்கான MTEF உள்ளீடு (படம் 3).

ESET: OceanLotus Cybergroup Backdoor க்கான புதிய டெலிவரி திட்டங்கள்
படம் 2. FONT பதிவு மதிப்புகள்

ESET: OceanLotus Cybergroup Backdoor க்கான புதிய டெலிவரி திட்டங்கள்
படம் 3. FONT பதிவு வடிவம்

சாத்தியமான களம் நிரம்பி வழிகிறது பெயர், ஏனெனில் அதன் அளவு நகலெடுக்கும் முன் சரிபார்க்கப்படவில்லை. மிக நீளமான பெயர் பாதிப்பைத் தூண்டுகிறது. RTF கோப்பின் உள்ளடக்கங்களிலிருந்து நீங்கள் பார்க்க முடியும் (படம் 0 இல் 26xC2 ஐ ஆஃப்செட் செய்யவும்), இடையகமானது ஷெல்கோடுடன் நிரப்பப்பட்டதைத் தொடர்ந்து போலி கட்டளை (0x90) மற்றும் திரும்ப முகவரி 0x402114. முகவரி என்பது ஒரு உரையாடல் உறுப்பு EQNEDT32.exeஅறிவுறுத்தல்களை சுட்டிக்காட்டுகிறது RET. இது புலத்தின் தொடக்கத்தில் EIP ஐ சுட்டிக்காட்டுகிறது பெயர்ஷெல்கோட் கொண்டிருக்கும்.

ESET: OceanLotus Cybergroup Backdoor க்கான புதிய டெலிவரி திட்டங்கள்
படம் 4. சுரண்டல் ஷெல்கோடின் ஆரம்பம்

முகவரியை 0x45BD3C தற்போது ஏற்றப்பட்ட கட்டமைப்பிற்கு ஒரு சுட்டியை அடையும் வரை dereferenced செய்யப்பட்ட ஒரு மாறியை சேமிக்கிறது MTEFData. மீதமுள்ள ஷெல்கோட் இங்கே உள்ளது.

ஷெல்கோடின் நோக்கம் திறந்த ஆவணத்தில் பதிக்கப்பட்ட ஷெல்கோடின் இரண்டாவது பகுதியை செயல்படுத்துவதாகும். முதலில், அசல் ஷெல்கோடு அனைத்து கணினி விளக்கங்களையும் மீண்டும் மீண்டும் செய்வதன் மூலம் திறந்த ஆவணத்தின் கோப்பு விளக்கத்தைக் கண்டறிய முயற்சிக்கிறது (NtQuerySystemInformation ஒரு வாதத்துடன் SystemExtendedHandleInformation) மற்றும் அவை பொருந்துமா என்பதைச் சரிபார்க்கிறது என்பது PID விளக்கி மற்றும் என்பது PID செயல்முறை WinWord மற்றும் ஆவணம் அணுகல் முகமூடியுடன் திறக்கப்பட்டதா - 0x12019F.

சரியான கைப்பிடி கண்டுபிடிக்கப்பட்டதை உறுதிப்படுத்த (மற்றும் மற்றொரு திறந்த ஆவணத்தின் கைப்பிடி அல்ல), கோப்பின் உள்ளடக்கங்கள் செயல்பாட்டைப் பயன்படுத்தி காட்டப்படும் CreateFileMapping, மற்றும் ஆவணத்தின் கடைசி நான்கு பைட்டுகள் பொருந்துமா என்பதை ஷெல்கோடு சரிபார்க்கிறது "yyyy» (முட்டை வேட்டை முறை). ஒரு பொருத்தம் கண்டறியப்பட்டதும், ஆவணம் ஒரு தற்காலிக கோப்புறைக்கு நகலெடுக்கப்படும் (GetTempPath) எப்படி ole.dll. பின்னர் ஆவணத்தின் கடைசி 12 பைட்டுகள் படிக்கப்படுகின்றன.

ESET: OceanLotus Cybergroup Backdoor க்கான புதிய டெலிவரி திட்டங்கள்
படம் 5. ஆவணத்தின் இறுதி குறிப்பான்கள்

குறிப்பான்களுக்கு இடையே 32-பிட் மதிப்பு AABBCCDD и yyyy அடுத்த ஷெல்கோடின் ஆஃப்செட் ஆகும். இது ஒரு செயல்பாட்டுடன் அழைக்கப்படுகிறது CreateThread. முன்பு OceanLotus குழு பயன்படுத்திய அதே ஷெல்கோடு பிரித்தெடுக்கப்பட்டது. பைதான் எமுலேஷன் ஸ்கிரிப்ட், நாங்கள் மார்ச் 2018 இல் வெளியிட்டோம், இது இன்னும் இரண்டாம் நிலை டம்ப்பிற்காக இயங்குகிறது.

இரண்டாவது கட்டம்

கூறுகளை பிரித்தெடுத்தல்

கோப்பு மற்றும் அடைவு பெயர்கள் மாறும் வகையில் தேர்ந்தெடுக்கப்படுகின்றன. குறியீடு தோராயமாக இயங்கக்கூடிய அல்லது DLL கோப்பின் பெயரைத் தேர்ந்தெடுக்கிறது C:Windowssystem32. அதன் பிறகு அதன் வளங்களுக்கு கோரிக்கை விடுத்து புலத்தை மீட்டெடுக்கிறது FileDescription கோப்புறையின் பெயராக பயன்படுத்த. அது வேலை செய்யவில்லை என்றால், குறியீடு தோராயமாக கோப்பகங்களிலிருந்து ஒரு கோப்புறை பெயரைத் தேர்ந்தெடுக்கும் %ProgramFiles% அல்லது C:Windows (GetWindowsDirectoryW இலிருந்து). இது ஏற்கனவே உள்ள கோப்புகளுடன் முரண்படக்கூடிய பெயரைப் பயன்படுத்துவதைத் தவிர்க்கிறது மற்றும் பின்வரும் சொற்களைக் கொண்டிருக்கவில்லை என்பதை உறுதிப்படுத்துகிறது: windows, Microsoft, desktop, system, system32 அல்லது syswow64. கோப்பகம் ஏற்கனவே இருந்தால், பெயருடன் "NLS_{6 எழுத்துகள்}" சேர்க்கப்படும்.

வள 0x102 பாகுபடுத்தப்பட்டு கோப்புகள் கொட்டப்பட்டன %ProgramFiles% அல்லது %AppData%, சீரற்ற முறையில் தேர்ந்தெடுக்கப்பட்ட கோப்புறைக்கு. உருவாக்கும் நேரம் அதே மதிப்புகளைக் கொண்டதாக மாற்றப்பட்டது kernel32.dll.

எடுத்துக்காட்டாக, இயங்கக்கூடியதைத் தேர்ந்தெடுப்பதன் மூலம் உருவாக்கப்பட்ட கோப்புகளின் கோப்புறை மற்றும் பட்டியல் இங்கே C:Windowssystem32TCPSVCS.exe தரவு ஆதாரமாக.

ESET: OceanLotus Cybergroup Backdoor க்கான புதிய டெலிவரி திட்டங்கள்
படம் 6. பல்வேறு கூறுகளின் பிரித்தெடுத்தல்

வள அமைப்பு 0x102 ஒரு துளிசொட்டியில் மிகவும் சிக்கலானது. சுருக்கமாக, இது கொண்டுள்ளது:
- கோப்பு பெயர்கள்
- கோப்பு அளவு மற்றும் உள்ளடக்கம்
- சுருக்க வடிவம் (COMPRESSION_FORMAT_LZNT1செயல்பாட்டின் மூலம் பயன்படுத்தப்படுகிறது RtlDecompressBuffer)

முதல் கோப்பு இவ்வாறு கொட்டப்பட்டது TCPSVCS.exe, இது சட்டபூர்வமானது AcroTranscoder.exe (படி FileDescription, SHA-1: 2896738693A8F36CC7AD83EF1FA46F82F32BE5A3).

சில DLL கோப்புகள் 11MB ஐ விட பெரியதாக இருப்பதை நீங்கள் கவனித்திருக்கலாம். ஏனென்றால், சீரற்ற தரவுகளின் பெரிய தொடர்ச்சியான இடையகமானது இயங்கக்கூடியதுக்குள் வைக்கப்பட்டுள்ளது. சில பாதுகாப்புத் தயாரிப்புகளால் கண்டறிவதைத் தவிர்க்க இது ஒரு வழியாக இருக்கலாம்.

நிலைத்தன்மையை உறுதி செய்தல்

வள 0x101 துளிசொட்டியில் இரண்டு 32-பிட் முழு எண்கள் உள்ளன, அவை நிலைத்தன்மையை எவ்வாறு செயல்படுத்த வேண்டும் என்பதைக் குறிப்பிடுகிறது. நிர்வாகி உரிமைகள் இல்லாமல் தீம்பொருள் எவ்வாறு நீடிக்கும் என்பதை முதல் மதிப்பின் மதிப்பு குறிப்பிடுகிறது.

ESET: OceanLotus Cybergroup Backdoor க்கான புதிய டெலிவரி திட்டங்கள்
அட்டவணை 1. நிர்வாகி அல்லாத நிலைத்தன்மை பொறிமுறை

இரண்டாவது முழு எண்ணின் மதிப்பு, நிர்வாகச் சிறப்புரிமைகளுடன் இயங்குவதன் மூலம் தீம்பொருள் எவ்வாறு நிலைத்தன்மையை உறுதிசெய்ய வேண்டும் என்பதைக் குறிப்பிடுகிறது.

ESET: OceanLotus Cybergroup Backdoor க்கான புதிய டெலிவரி திட்டங்கள்
அட்டவணை 2. நிர்வாகி நிலைத்தன்மை பொறிமுறை

சேவையின் பெயர் நீட்டிப்பு இல்லாத கோப்பு பெயர்; காட்சி பெயர் கோப்புறையின் பெயர், ஆனால் அது ஏற்கனவே இருந்தால், சரம் "Revision 1” (பயன்படுத்தப்படாத பெயர் கண்டுபிடிக்கப்படும் வரை எண்ணிக்கை அதிகரிக்கும்). ஆபரேட்டர்கள், சேவையின் மூலம் நீடித்து நிலைத்திருப்பது உறுதியானது - தோல்வியுற்றால், 1 வினாடிக்குப் பிறகு சேவையை மறுதொடக்கம் செய்ய வேண்டும். பின்னர் மதிப்பு WOW64 சேவைக்கான புதிய பதிவு விசை 4 ஆக அமைக்கப்பட்டுள்ளது, இது 32-பிட் சேவை என்பதைக் குறிக்கிறது.

பல COM இடைமுகங்கள் மூலம் திட்டமிடப்பட்ட பணி உருவாக்கப்படுகிறது: ITaskScheduler, ITask, ITaskTrigger, IPersistFile и ITaskScheduler. முக்கியமாக, தீம்பொருள் ஒரு மறைக்கப்பட்ட பணியை உருவாக்குகிறது, தற்போதைய பயனர் அல்லது நிர்வாகி தகவலுடன் கணக்குத் தகவலை அமைக்கிறது, பின்னர் தூண்டுதலை அமைக்கிறது.

இது 24 மணிநேரம் மற்றும் 10 நிமிடங்களுக்கு இரண்டு ஓட்டங்களுக்கு இடைப்பட்ட இடைவெளியுடன் தினசரி பணியாகும், அதாவது இது தொடர்ந்து இயங்கும்.

தீங்கிழைக்கும் பிட்

எங்கள் எடுத்துக்காட்டில், இயங்கக்கூடியது TCPSVCS.exe (AcroTranscoder.exe) என்பது, அதனுடன் கைவிடப்பட்ட DLLகளை ஏற்றும் முறையான மென்பொருளாகும். இந்த வழக்கில், இது ஆர்வமாக உள்ளது Flash Video Extension.dll.

அதன் செயல்பாடு DLLMain மற்றொரு செயல்பாட்டை அழைக்கிறது. சில தெளிவற்ற கணிப்புகள் உள்ளன:

ESET: OceanLotus Cybergroup Backdoor க்கான புதிய டெலிவரி திட்டங்கள்
படம் 7. Fuzzy predicates

இந்த தவறான சோதனைகளுக்குப் பிறகு, குறியீடு ஒரு பகுதியைப் பெறுகிறது .text கோப்பு TCPSVCS.exe, அதன் பாதுகாப்பை மாற்றுகிறது PAGE_EXECUTE_READWRITE போலி வழிமுறைகளுடன் அதை மேலெழுதுகிறது:

ESET: OceanLotus Cybergroup Backdoor க்கான புதிய டெலிவரி திட்டங்கள்
படம் 8. வழிமுறைகளின் வரிசை

செயல்பாட்டின் முகவரிக்கு இறுதியில் FLVCore::Uninitialize(void), ஏற்றுமதி செய்யப்பட்டது Flash Video Extension.dll, அறிவுறுத்தல் சேர்க்கப்பட்டுள்ளது CALL. இதன் பொருள் தீங்கிழைக்கும் DLL ஏற்றப்பட்ட பிறகு, இயக்க நேரம் அழைக்கும் போது WinMain в TCPSVCS.exe, அறிவுறுத்தல் சுட்டிக்காட்டி NOP ஐ சுட்டிக்காட்டும், இதன் விளைவாக அழைப்பு வரும் FLVCore::Uninitialize(void), அடுத்த நிலை.

செயல்பாடு ஒரு மியூடெக்ஸை உருவாக்குகிறது {181C8480-A975-411C-AB0A-630DB8B0A221}தற்போதைய பயனர்பெயர் தொடர்ந்து. பின்னர் அது டம்ப் செய்யப்பட்ட *.db3 கோப்பைப் படிக்கிறது, அதில் நிலை-சுயாதீன குறியீடு உள்ளது, மேலும் பயன்படுத்துகிறது CreateThread உள்ளடக்கத்தை செயல்படுத்த.

*.db3 கோப்பின் உள்ளடக்கமானது OceanLotus குழு பொதுவாக பயன்படுத்தும் ஷெல்கோட் ஆகும். நாங்கள் வெளியிட்ட எமுலேட்டர் ஸ்கிரிப்டைப் பயன்படுத்தி அதன் பேலோடை மீண்டும் வெற்றிகரமாக டிகம்ப்ரஸ் செய்தோம். GitHub இல்.

ஸ்கிரிப்ட் இறுதி கட்டத்தை மீட்டெடுக்கிறது. இந்த கூறு நாம் ஏற்கனவே பகுப்பாய்வு செய்த பின்கதவு ஆகும் முந்தைய OceanLotus ஆய்வு. இதை GUID மூலம் தீர்மானிக்க முடியும் {A96B020F-0000-466F-A96D-A91BBF8EAC96} பைனரி கோப்பு. தீம்பொருள் உள்ளமைவு இன்னும் PE ஆதாரத்தில் குறியாக்கம் செய்யப்பட்டுள்ளது. இது தோராயமாக அதே உள்ளமைவைக் கொண்டுள்ளது, ஆனால் C&C சேவையகங்கள் முந்தையவற்றிலிருந்து வேறுபட்டவை:

- andreagahuvrauvin[.]com
- byronorenstein[.]com
- stienollmache[.]xyz

OceanLotus குழு மீண்டும் கண்டறிதலைத் தவிர்க்க பல்வேறு நுட்பங்களின் கலவையை நிரூபிக்கிறது. அவர்கள் தொற்று செயல்முறையின் "முடிக்கப்பட்ட" திட்டத்துடன் திரும்பினர். சீரற்ற பெயர்களைத் தேர்ந்தெடுப்பதன் மூலமும், சீரற்ற தரவுகளுடன் இயங்கக்கூடியவற்றை நிரப்புவதன் மூலமும், அவை நம்பகமான IoC களின் எண்ணிக்கையைக் குறைக்கின்றன (ஹாஷ்கள் மற்றும் கோப்புப் பெயர்களின் அடிப்படையில்). மேலும், மூன்றாம் தரப்பு DLL ஏற்றுதலைப் பயன்படுத்துவதன் மூலம், தாக்குபவர்கள் முறையான பைனரியை மட்டுமே அகற்ற வேண்டும் AcroTranscoder.

சுயமாக பிரித்தெடுக்கும் காப்பகங்கள்

RTF கோப்புகளுக்குப் பிறகு, குழுவானது பயனரை மேலும் குழப்பும் வகையில் பொதுவான ஆவண ஐகான்களுடன் சுய-பிரித்தல் (SFX) காப்பகங்களுக்கு மாறியது. அச்சுறுத்தல் புத்தகம் அதைப் பற்றி எழுதியது (சீன மொழியில் இணைப்பு) தொடக்கத்தில், சுயமாக பிரித்தெடுக்கும் RAR கோப்புகள் டம்ப் செய்யப்பட்டு, .ocx நீட்டிப்புடன் கூடிய DLLகள் செயல்படுத்தப்படுகின்றன, இதன் இறுதி பேலோட் முன்பு ஆவணப்படுத்தப்பட்டது. {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll. ஜனவரி 2019 நடுப்பகுதியில் இருந்து, OceanLotus இந்த நுட்பத்தை மீண்டும் பயன்படுத்துகிறது, ஆனால் காலப்போக்கில் சில உள்ளமைவுகளை மாற்றுகிறது. இந்த பிரிவில், தொழில்நுட்பம் மற்றும் மாற்றங்களைப் பற்றி பேசுவோம்.

ஒரு கவர்ச்சியை உருவாக்குதல்

ஆவணம் THICH-THONG-LAC-HANH-THAP-THIEN-VIET-NAM (1).EXE (SHA-1: AC10F5B1D5ECAB22B7B418D6E98FA18E32BBDEAB) முதலில் 2018 இல் கண்டுபிடிக்கப்பட்டது. இந்த SFX கோப்பு மனதைக் கொண்டு உருவாக்கப்பட்டது - விளக்கத்தில் (பதிப்பு தகவல்) இது ஒரு JPEG படம் என்று கூறுகிறது. SFX ஸ்கிரிப்ட் இதுபோல் தெரிகிறது:

ESET: OceanLotus Cybergroup Backdoor க்கான புதிய டெலிவரி திட்டங்கள்
படம் 9. SFX கட்டளைகள்

தீம்பொருள் மீட்டமைக்கப்படுகிறது {9ec60ada-a200-4159-b310-8071892ed0c3}.ocx (SHA-1: EFAC23B0E6395B1178BCF7086F72344B24C04DCC), அத்துடன் ஒரு படம் 2018 thich thong lac.jpg.

சிதைவு படம் இதுபோல் தெரிகிறது:

ESET: OceanLotus Cybergroup Backdoor க்கான புதிய டெலிவரி திட்டங்கள்
படம் 10. டிகோய் படம்

SFX ஸ்கிரிப்ட்டின் முதல் இரண்டு வரிகள் OCX கோப்பை இரண்டு முறை அழைப்பதை நீங்கள் கவனித்திருக்கலாம், ஆனால் இது ஒரு பிழை அல்ல.

{9ec60ada-a200-4159-b310-8071892ed0c3}.ocx (ShLd.dll)

OCX கோப்பின் கட்டுப்பாட்டு ஓட்டம் மற்ற OceanLotus கூறுகளுடன் மிகவும் ஒத்திருக்கிறது - பல கட்டளை வரிசைகள் JZ/JNZ и PUSH/RETகுப்பைக் குறியீட்டுடன் இணைக்கப்பட்டுள்ளது.

ESET: OceanLotus Cybergroup Backdoor க்கான புதிய டெலிவரி திட்டங்கள்
படம் 11. தெளிவற்ற குறியீடு

குப்பைக் குறியீட்டை வடிகட்டிய பிறகு, ஏற்றுமதி DllRegisterServer, அழைக்கப்பட்டது regsvr32.exe, பின்வருமாறு:

ESET: OceanLotus Cybergroup Backdoor க்கான புதிய டெலிவரி திட்டங்கள்
படம் 12. முதன்மை நிறுவி குறியீடு

அடிப்படையில், நீங்கள் முதல் முறையாக அழைக்கிறீர்கள் DllRegisterServer ஏற்றுமதி பதிவேடு மதிப்பை அமைக்கிறது HKCUSOFTWAREClassesCLSID{E08A0F4B-1F65-4D4D-9A09-BD4625B9C5A1}Model DLL இல் மறைகுறியாக்கப்பட்ட ஆஃப்செட்டுக்கு (0x10001DE0).

செயல்பாடு இரண்டாவது முறையாக அழைக்கப்படும் போது, ​​​​அது அதே மதிப்பைப் படித்து அந்த முகவரியில் செயல்படுத்துகிறது. இங்கிருந்து, ஆதாரம் படிக்கப்பட்டு செயல்படுத்தப்படுகிறது, மேலும் பல செயல்கள் ரேமில் செய்யப்படுகின்றன.

கடந்த OceanLotus பிரச்சாரங்களில் பயன்படுத்தப்பட்ட அதே PE ஏற்றிதான் ஷெல்கோடு. அதை பின்பற்றலாம் எங்கள் ஸ்கிரிப்ட். இறுதியில், அவர் கைவிடுகிறார் db293b825dcc419ba7dc2c49fa2757ee.dll, அதை நினைவகத்தில் ஏற்றி இயக்குகிறது DllEntry.

DLL ஆனது அதன் வளத்தின் உள்ளடக்கங்களை பிரித்தெடுத்து, மறைகுறியாக்குகிறது (AES-256-CBC) மற்றும் டிகம்ப்ரஸ் (LZMA) செய்கிறது. வளமானது ஒரு குறிப்பிட்ட வடிவமைப்பைக் கொண்டுள்ளது, அது சிதைப்பதற்கு எளிதானது.

ESET: OceanLotus Cybergroup Backdoor க்கான புதிய டெலிவரி திட்டங்கள்
படம் 13. நிறுவி உள்ளமைவு அமைப்பு (KaitaiStruct Visualizer)

உள்ளமைவு வெளிப்படையாக அமைக்கப்பட்டுள்ளது - சிறப்புரிமை அளவைப் பொறுத்து, பைனரி தரவு எழுதப்படும் %appdata%IntellogsBackgroundUploadTask.cpl அல்லது %windir%System32BackgroundUploadTask.cpl (அல்லது SysWOW64 64-பிட் அமைப்புகளுக்கு).

பெயரிடப்பட்ட பணியை உருவாக்குவதன் மூலம் மேலும் நிலைத்தன்மை உறுதி செய்யப்படுகிறது BackgroundUploadTask[junk].jobஅங்கு [junk] பைட்டுகளின் தொகுப்பாகும் 0x9D и 0xA0.

பணி விண்ணப்பத்தின் பெயர் %windir%System32control.exe, மற்றும் அளவுருவின் மதிப்பு பதிவிறக்கம் செய்யப்பட்ட பைனரி கோப்பிற்கான பாதையாகும். மறைக்கப்பட்ட பணி ஒவ்வொரு நாளும் இயங்கும்.

கட்டமைப்பு ரீதியாக, ஒரு CPL கோப்பு என்பது ஒரு உள் பெயரைக் கொண்ட DLL ஆகும் ac8e06de0a6c4483af9837d96504127e.dll, இது செயல்பாட்டை ஏற்றுமதி செய்கிறது CPlApplet. இந்தக் கோப்பு அதன் ஒரே ஆதாரத்தை மறைகுறியாக்குகிறது {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll, பின்னர் அந்த DLL ஐ ஏற்றுகிறது மற்றும் அதன் ஒரே ஏற்றுமதியை அழைக்கிறது DllEntry.

பின்கதவு உள்ளமைவு கோப்பு

பின்கதவு உள்ளமைவு குறியாக்கம் செய்யப்பட்டு அதன் ஆதாரங்களில் உட்பொதிக்கப்பட்டுள்ளது. உள்ளமைவு கோப்பின் அமைப்பு முந்தையதைப் போலவே உள்ளது.

ESET: OceanLotus Cybergroup Backdoor க்கான புதிய டெலிவரி திட்டங்கள்
படம் 14. பின்கதவு கட்டமைப்பு அமைப்பு (KaitaiStruct Visualizer)

ஒரே மாதிரியான அமைப்பு இருந்தபோதிலும், காட்டப்பட்டுள்ள தரவுகளுடன் ஒப்பிடும்போது பல துறைகளின் மதிப்புகள் புதுப்பிக்கப்பட்டுள்ளன எங்கள் பழைய அறிக்கை.

பைனரி வரிசையின் முதல் உறுப்பு DLL ஐக் கொண்டுள்ளது (HttpProv.dll MD5: 2559738D1BD4A999126F900C7357B759), டென்சென்ட் மூலம் அடையாளம் காணப்பட்டது. ஆனால் பைனரியில் இருந்து ஏற்றுமதி பெயர் நீக்கப்பட்டதால், ஹாஷ்கள் பொருந்தவில்லை.

கூடுதல் ஆராய்ச்சி

மாதிரிகளை சேகரித்து, சில குணாதிசயங்களுக்கு கவனம் செலுத்தினோம். இப்போது விவரிக்கப்பட்ட மாதிரி ஜூலை 2018 இல் தோன்றியது, மேலும் இது போன்ற மற்றவை சமீபத்தில் ஜனவரி நடுப்பகுதியில் - பிப்ரவரி 2019 தொடக்கத்தில் தோன்றின. ஒரு SFX காப்பகம் ஒரு தொற்று திசையனாகப் பயன்படுத்தப்பட்டது, முறையான டிகோய் ஆவணம் மற்றும் தீங்கிழைக்கும் OCX கோப்பை கைவிடப்பட்டது.

OceanLotus போலி நேர முத்திரைகளைப் பயன்படுத்தினாலும், SFX மற்றும் OCX கோப்புகளின் நேர முத்திரைகள் எப்போதும் ஒரே மாதிரியாக இருப்பதை நாங்கள் கவனித்தோம் (0x57B0C36A (08/14/2016 @ 7:15pm UTC) மற்றும் 0x498BE80F (02/06/2009 @ 7:34am UTC) முறையே). ஆசிரியர்கள் ஒரே மாதிரியான வார்ப்புருக்களைப் பயன்படுத்தும் மற்றும் சில குணாதிசயங்களை மாற்றும் சில வகையான "கட்டமைப்பாளர்"களைக் கொண்டிருப்பதை இது குறிக்கலாம்.

2018 ஆம் ஆண்டின் தொடக்கத்தில் இருந்து நாங்கள் ஆய்வு செய்த ஆவணங்களில், தாக்கும் நாடுகளைக் குறிக்கும் பல்வேறு பெயர்கள் உள்ளன:

- கம்போடியா மீடியாவின் புதிய தொடர்புத் தகவல்(New).xls.exe
- 李建香 (个人简历).exe (ஒரு CVயின் போலி pdf ஆவணம்)
— பின்னூட்டம், ஜூலை 28-29, 2018.exe இல் அமெரிக்காவில் பேரணி

பின்கதவு கண்டுபிடிக்கப்பட்டதிலிருந்து {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll மற்றும் பல ஆராய்ச்சியாளர்களால் அதன் பகுப்பாய்வின் வெளியீடு, தீம்பொருள் உள்ளமைவு தரவுகளில் சில மாற்றங்களைக் கண்டோம்.

முதலில், ஆசிரியர்கள் உதவி DLL DLL களில் இருந்து பெயர்களை நீக்கத் தொடங்கினர் (DNSprov.dll மற்றும் இரண்டு பதிப்புகள் HttpProv.dll) பின்னர் ஆபரேட்டர்கள் மூன்றாவது டிஎல்எல் (இரண்டாம் பதிப்பு) பேக்கேஜிங் செய்வதை நிறுத்தினர் HttpProv.dll), ஒன்றை மட்டும் உட்பொதிக்க தேர்வு.

இரண்டாவதாக, பல பின்கதவு உள்ளமைவு புலங்கள் மாற்றப்பட்டுள்ளன, அநேகமாக பல IoCகள் கிடைத்துள்ளதால் கண்டறிதலைத் தவிர்க்கலாம். ஆசிரியர்களால் மாற்றியமைக்கப்பட்ட முக்கியமான துறைகளில் பின்வருபவை:

  • மாற்றப்பட்ட ரெஜிஸ்ட்ரி கீ AppX (IoC களைப் பார்க்கவும்)
  • மியூடெக்ஸ் குறியாக்க சரம் ("def", "abc", "ghi")
  • போர்ட் எண்

இறுதியாக, பகுப்பாய்வு செய்யப்பட்ட அனைத்து புதிய பதிப்புகளும் IoCs பிரிவில் பட்டியலிடப்பட்ட புதிய C&Cகளைக் கொண்டுள்ளன.

கண்டுபிடிப்புகள்

OceanLotus தொடர்ந்து உருவாகி வருகிறது. சைபர் குழுவானது கருவிகள் மற்றும் கவர்ச்சிகளை செம்மைப்படுத்துவதிலும் விரிவுபடுத்துவதிலும் கவனம் செலுத்துகிறது. நோக்கம் பாதிக்கப்பட்டவர்களுக்குத் தொடர்புடைய கவனத்தை ஈர்க்கும் ஆவணங்களுடன் தீங்கிழைக்கும் பேலோடுகளை ஆசிரியர்கள் மறைக்கின்றனர். அவை புதிய சுற்றுகளை உருவாக்குகின்றன மற்றும் சமன்பாடு எடிட்டர் சுரண்டல் போன்ற பொதுவில் கிடைக்கும் கருவிகளையும் பயன்படுத்துகின்றன. மேலும், அவர்கள் பாதிக்கப்பட்டவர்களின் இயந்திரங்களில் எஞ்சியிருக்கும் கலைப்பொருட்களின் எண்ணிக்கையைக் குறைப்பதற்கான கருவிகளை மேம்படுத்துகின்றனர், இதன் மூலம் வைரஸ் தடுப்பு மென்பொருளால் கண்டறியப்படும் வாய்ப்பைக் குறைக்கின்றனர்.

சமரசத்தின் குறிகாட்டிகள்

சமரசத்தின் குறிகாட்டிகள் மற்றும் MITER ATT&CK பண்புக்கூறுகள் உள்ளன வெலிவ் செக்யூரிட்டி மீது и GitHub இல்.

ஆதாரம்: www.habr.com

கருத்தைச் சேர்