ESET: OceanLotus సైబర్ గ్రూప్ కోసం కొత్త బ్యాక్‌డోర్ డెలివరీ స్కీమ్‌లు

ఈ పోస్ట్‌లో సైబర్ గ్రూప్ OceanLotus (APT32 మరియు APT-C-00) ఇటీవల పబ్లిక్‌గా అందుబాటులో ఉన్న దోపిడీలలో ఒకదాన్ని ఎలా ఉపయోగించారో మీకు తెలియజేస్తాము CVE-2017-11882, మైక్రోసాఫ్ట్ ఆఫీస్‌లో మెమరీ అవినీతి దుర్బలత్వాలు మరియు సమూహం యొక్క మాల్వేర్ ఒక జాడను వదలకుండా రాజీపడిన సిస్టమ్‌లపై ఎలా నిలకడను సాధిస్తుంది. తర్వాత, 2019 ప్రారంభం నుండి, సమూహం కోడ్‌ని అమలు చేయడానికి స్వీయ-సంగ్రహణ ఆర్కైవ్‌లను ఎలా ఉపయోగిస్తుందో మేము వివరిస్తాము.

OceanLotus సైబర్ గూఢచర్యంలో ప్రత్యేకత కలిగి ఉంది, ఆగ్నేయాసియాలోని దేశాలకు ప్రాధాన్యతా లక్ష్యాలు ఉన్నాయి. దాడి చేసేవారు బ్యాక్‌డోర్‌ను అమలు చేయడానికి వారిని ఒప్పించేందుకు సంభావ్య బాధితుల దృష్టిని ఆకర్షించే నకిలీ పత్రాలను రూపొందిస్తారు మరియు సాధనాలను అభివృద్ధి చేయడంలో కూడా పని చేస్తున్నారు. "డబుల్-ఎక్స్‌టెన్షన్" ఫైల్‌లు, సెల్ఫ్-ఎక్స్‌ట్రాక్టింగ్ ఆర్కైవ్‌లు, మాక్రోలతో కూడిన డాక్యుమెంట్‌లు, తెలిసిన ఎక్స్‌ప్లోయిట్‌ల వరకు హనీపాట్‌లను రూపొందించడానికి ఉపయోగించే పద్ధతులు దాడులు అంతటా మారుతూ ఉంటాయి.

మైక్రోసాఫ్ట్ ఈక్వేషన్ ఎడిటర్‌లో దోపిడీని ఉపయోగించడం

2018 మధ్యలో, OceanLotus CVE-2017-11882 దుర్బలత్వాన్ని ఉపయోగించుకునే ప్రచారాన్ని నిర్వహించింది. సైబర్ సమూహం యొక్క హానికరమైన పత్రాలలో ఒకటి 360 థ్రెట్ ఇంటెలిజెన్స్ సెంటర్ నుండి నిపుణులచే విశ్లేషించబడింది (చైనీస్ భాషలో పరిశోధన), దోపిడీ యొక్క వివరణాత్మక వివరణతో సహా. దిగువ పోస్ట్ అటువంటి హానికరమైన పత్రం యొక్క అవలోకనాన్ని కలిగి ఉంది.

మొదటి దశ

పత్రం FW Report on demonstration of former CNRP in Republic of Korea.doc (SHA-1: D1357B284C951470066AAA7A8228190B88A5C7C3) పైన అధ్యయనంలో పేర్కొన్న దానితో సమానంగా ఉంటుంది. ఇది ఆసక్తికరంగా ఉంది ఎందుకంటే ఇది కంబోడియన్ రాజకీయాలపై ఆసక్తి ఉన్న వినియోగదారులను లక్ష్యంగా చేసుకుంది (CNRP - కంబోడియా నేషనల్ రెస్క్యూ పార్టీ, 2017 చివరిలో రద్దు చేయబడింది). .doc పొడిగింపు ఉన్నప్పటికీ, పత్రం RTF ఆకృతిలో ఉంది (క్రింద ఉన్న చిత్రాన్ని చూడండి), చెత్త కోడ్‌ను కలిగి ఉంది మరియు వక్రీకరించబడింది.

మూర్తి 1. RTFలో "చెత్త"

గార్బుల్డ్ ఎలిమెంట్స్ ఉన్నప్పటికీ, Word ఈ RTF ఫైల్‌ని విజయవంతంగా తెరుస్తుంది. మీరు మూర్తి 2లో చూడగలిగినట్లుగా, ఆఫ్‌సెట్ 0xC00 వద్ద EQNOLEFILEHDR నిర్మాణం ఉంది, దాని తర్వాత MTEF హెడర్, ఆపై ఫాంట్ కోసం MTEF ఎంట్రీ (మూర్తి 3) ఉంటుంది.

మూర్తి 2. ఫాంట్ ఎంట్రీ విలువలు

చిత్రం 3. ఫాంట్ రికార్డింగ్ ఫార్మాట్

పొలంలో పొంగిపొర్లే అవకాశం ఉంది పేరు, ఎందుకంటే దాని పరిమాణం కాపీ చేయడానికి ముందు తనిఖీ చేయబడదు. చాలా పొడవుగా ఉన్న పేరు దుర్బలత్వాన్ని ప్రేరేపిస్తుంది. మీరు RTF ఫైల్‌లోని కంటెంట్‌ల నుండి చూడగలిగినట్లుగా (మూర్తి 0లో 26xC2 ఆఫ్‌సెట్), బఫర్ షెల్‌కోడ్‌తో నిండి ఉంటుంది, దాని తర్వాత డమ్మీ కమాండ్ (0x90) మరియు తిరిగి చిరునామా 0x402114. చిరునామా డైలాగ్ మూలకం EQNEDT32.exe, సూచనలను సూచిస్తుంది RET. ఇది ఫీల్డ్ ప్రారంభానికి EIPని సూచించేలా చేస్తుంది పేరుషెల్‌కోడ్‌ను కలిగి ఉంది.

మూర్తి 4. ఎక్స్‌ప్లోయిట్ షెల్‌కోడ్ ప్రారంభం

చిరునామా 0x45BD3C ప్రస్తుతం లోడ్ చేయబడిన స్ట్రక్చర్‌కు పాయింటర్‌ను చేరుకునే వరకు డిఫరెన్స్ చేయబడిన వేరియబుల్‌ను నిల్వ చేస్తుంది MTEFData. మిగిలిన షెల్‌కోడ్ ఇక్కడ ఉంది.

షెల్‌కోడ్ యొక్క ఉద్దేశ్యం ఓపెన్ డాక్యుమెంట్‌లో పొందుపరిచిన షెల్‌కోడ్ యొక్క రెండవ భాగాన్ని అమలు చేయడం. ఒరిజినల్ షెల్‌కోడ్ మొదట అన్ని సిస్టమ్ డిస్క్రిప్టర్‌లను మళ్ళించడం ద్వారా ఓపెన్ డాక్యుమెంట్ యొక్క ఫైల్ డిస్క్రిప్టర్‌ను కనుగొనడానికి ప్రయత్నిస్తుంది (NtQuerySystemInformation వాదనతో SystemExtendedHandleInformation) మరియు అవి సరిపోతాయో లేదో తనిఖీ చేస్తోంది PID డిస్క్రిప్టర్ మరియు PID ప్రక్రియ WinWord మరియు పత్రం యాక్సెస్ మాస్క్‌తో తెరవబడిందా - 0x12019F.

సరైన హ్యాండిల్ కనుగొనబడిందని నిర్ధారించడానికి (మరియు మరొక ఓపెన్ డాక్యుమెంట్‌కి హ్యాండిల్ కాదు), ఫైల్ యొక్క కంటెంట్‌లు ఫంక్షన్‌ని ఉపయోగించి ప్రదర్శించబడతాయి CreateFileMapping, మరియు షెల్ కోడ్ డాక్యుమెంట్ యొక్క చివరి నాలుగు బైట్‌లు సరిపోలుతుందో లేదో తనిఖీ చేస్తుంది "yyyy"(గుడ్డు వేట పద్ధతి). సరిపోలిక కనుగొనబడిన తర్వాత, పత్రం తాత్కాలిక ఫోల్డర్‌కి కాపీ చేయబడుతుంది (GetTempPath) ఎలా ole.dll. అప్పుడు పత్రం యొక్క చివరి 12 బైట్‌లు చదవబడతాయి.

మూర్తి 5. డాక్యుమెంట్ మార్కర్ల ముగింపు

మార్కర్ల మధ్య 32-బిట్ విలువ AABBCCDD и yyyy తదుపరి షెల్‌కోడ్ ఆఫ్‌సెట్. ఇది ఫంక్షన్ ఉపయోగించి అంటారు CreateThread. ఇంతకు ముందు OceanLotus సమూహం ఉపయోగించిన అదే షెల్‌కోడ్‌ని సంగ్రహించారు. పైథాన్ ఎమ్యులేషన్ స్క్రిప్ట్మేము మార్చి 2018లో విడుదల చేసిన , ఇప్పటికీ రెండవ దశ డంప్ కోసం పని చేస్తుంది.

రెండవ దశ

భాగాలు తొలగించడం

ఫైల్ మరియు డైరెక్టరీ పేర్లు డైనమిక్‌గా ఎంపిక చేయబడ్డాయి. కోడ్ యాదృచ్ఛికంగా ఎక్జిక్యూటబుల్ లేదా DLL ఫైల్ పేరును ఎంచుకుంటుంది C:Windowssystem32. ఇది దాని వనరులకు అభ్యర్థన చేస్తుంది మరియు ఫీల్డ్‌ను తిరిగి పొందుతుంది FileDescription ఫోల్డర్ పేరుగా ఉపయోగించడానికి. ఇది పని చేయకపోతే, కోడ్ యాదృచ్ఛికంగా డైరెక్టరీల నుండి ఫోల్డర్ పేరును ఎంచుకుంటుంది %ProgramFiles% లేదా C:Windows (GetWindowsDirectoryW నుండి). ఇది ఇప్పటికే ఉన్న ఫైల్‌లతో విభేదించే పేరును ఉపయోగించకుండా చేస్తుంది మరియు కింది పదాలను కలిగి ఉండదని నిర్ధారిస్తుంది: windows, Microsoft, desktop, system, system32 లేదా syswow64. డైరెక్టరీ ఇప్పటికే ఉన్నట్లయితే, పేరుకు "NLS_{6 అక్షరాలు}" జోడించబడుతుంది.

వనరు 0x102 విశ్లేషించబడుతుంది మరియు ఫైల్‌లు డంప్ చేయబడతాయి %ProgramFiles% లేదా %AppData%, యాదృచ్ఛికంగా ఎంచుకున్న ఫోల్డర్‌కి. అదే విలువలను కలిగి ఉండేలా సృష్టి సమయం మార్చబడింది kernel32.dll.

ఉదాహరణకు, ఎక్జిక్యూటబుల్‌ని ఎంచుకోవడం ద్వారా సృష్టించబడిన ఫైల్‌ల ఫోల్డర్ మరియు జాబితా ఇక్కడ ఉంది C:Windowssystem32TCPSVCS.exe డేటా మూలంగా.

మూర్తి 6. వివిధ భాగాలను సంగ్రహించడం

వనరుల నిర్మాణం 0x102 డ్రాపర్‌లో చాలా క్లిష్టంగా ఉంటుంది. క్లుప్తంగా, ఇది కలిగి ఉంటుంది:
- ఫైల్ పేర్లు
- ఫైల్ పరిమాణం మరియు కంటెంట్
- కంప్రెషన్ ఫార్మాట్ (COMPRESSION_FORMAT_LZNT1, ఫంక్షన్ ద్వారా ఉపయోగించబడుతుంది RtlDecompressBuffer)

మొదటి ఫైల్ రీసెట్ చేయబడింది TCPSVCS.exe, ఇది చట్టబద్ధమైనది AcroTranscoder.exe (ప్రకారం FileDescription, SHA-1: 2896738693A8F36CC7AD83EF1FA46F82F32BE5A3).

కొన్ని DLL ఫైల్‌లు 11 MB కంటే పెద్దవిగా ఉన్నాయని మీరు గమనించి ఉండవచ్చు. ఎందుకంటే ఎక్జిక్యూటబుల్ ఫైల్ లోపల యాదృచ్ఛిక డేటా యొక్క పెద్ద బఫర్ ఉంచబడుతుంది. కొన్ని భద్రతా ఉత్పత్తుల ద్వారా గుర్తించబడకుండా ఉండటానికి ఇది ఒక మార్గం.

పట్టుదలకు భరోసా

వనరు 0x101 డ్రాపర్‌లో రెండు 32-బిట్ పూర్ణాంకాలు ఉన్నాయి, అవి ఎలా నిలకడను అందించాలో పేర్కొంటాయి. అడ్మినిస్ట్రేటర్ హక్కులు లేకుండా మాల్వేర్ ఎలా కొనసాగుతుందో మొదటి విలువ నిర్దేశిస్తుంది.

టేబుల్ 1. అడ్మినిస్ట్రేటర్ హక్కులు లేకుండా పెర్సిస్టెన్స్ మెకానిజం

అడ్మినిస్ట్రేటర్ హక్కులతో రన్ అవుతున్నప్పుడు మాల్వేర్ ఎలా నిలకడను సాధించాలో రెండవ పూర్ణాంకం యొక్క విలువ నిర్దేశిస్తుంది.

టేబుల్ 2. అడ్మినిస్ట్రేటర్ హక్కులతో పెర్సిస్టెన్స్ మెకానిజం

సేవ పేరు పొడిగింపు లేని ఫైల్ పేరు; ప్రదర్శన పేరు ఫోల్డర్ పేరు, కానీ అది ఇప్పటికే ఉన్నట్లయితే, దానికి “ స్ట్రింగ్ జోడించబడుతుంది.Revision 1” (ఉపయోగించని పేరు కనుగొనబడే వరకు సంఖ్య పెరుగుతుంది). ఆపరేటర్లు సేవ ద్వారా పట్టుదల బలంగా ఉండేలా చూసుకున్నారు - విఫలమైతే, సేవ 1 సెకను తర్వాత పునఃప్రారంభించబడాలి. అప్పుడు విలువ WOW64 కొత్త సేవ యొక్క రిజిస్ట్రీ కీ 4కి సెట్ చేయబడింది, ఇది 32-బిట్ సేవ అని సూచిస్తుంది.

అనేక COM ఇంటర్‌ఫేస్‌ల ద్వారా షెడ్యూల్ చేయబడిన పని సృష్టించబడుతుంది: ITaskScheduler, ITask, ITaskTrigger, IPersistFile и ITaskScheduler. ముఖ్యంగా, మాల్వేర్ దాచిన పనిని సృష్టిస్తుంది, ప్రస్తుత వినియోగదారు లేదా నిర్వాహకుడి సమాచారంతో పాటు ఖాతా సమాచారాన్ని సెట్ చేస్తుంది, ఆపై ట్రిగ్గర్‌ను సెట్ చేస్తుంది.

ఇది 24 గంటల వ్యవధి మరియు 10 నిమిషాల రెండు ఎగ్జిక్యూషన్‌ల మధ్య విరామాలతో రోజువారీ పని, అంటే ఇది నిరంతరం నడుస్తుంది.

హానికరమైన బిట్

మా ఉదాహరణలో, ఎక్జిక్యూటబుల్ ఫైల్ TCPSVCS.exe (AcroTranscoder.exe) అనేది దానితో పాటు రీసెట్ చేయబడిన DLLలను లోడ్ చేసే చట్టబద్ధమైన సాఫ్ట్‌వేర్. ఈ సందర్భంలో, ఇది ఆసక్తిని కలిగిస్తుంది Flash Video Extension.dll.

దాని ఫంక్షన్ DLLMain కేవలం మరొక ఫంక్షన్‌ని పిలుస్తుంది. కొన్ని అస్పష్టమైన అంచనాలు ఉన్నాయి:

మూర్తి 7. ఫజ్జీ ప్రిడికేట్స్

ఈ తప్పుదారి పట్టించే తనిఖీల తర్వాత, కోడ్ ఒక విభాగాన్ని పొందుతుంది .text ఫైలు TCPSVCS.exe, దాని రక్షణను మారుస్తుంది PAGE_EXECUTE_READWRITE మరియు నకిలీ సూచనలను జోడించడం ద్వారా దాన్ని తిరిగి వ్రాస్తుంది:

మూర్తి 8. సూచనల క్రమం

ఫంక్షన్ చిరునామాకు చివరిలో FLVCore::Uninitialize(void), ఎగుమతి చేయబడింది Flash Video Extension.dll, సూచన జోడించబడింది CALL. దీని అర్థం హానికరమైన DLL లోడ్ అయిన తర్వాత, రన్‌టైమ్ కాల్ చేసినప్పుడు WinMain в TCPSVCS.exe, సూచన పాయింటర్ NOPని సూచిస్తుంది, దీనివల్ల FLVCore::Uninitialize(void), తదుపరి దశ.

ఫంక్షన్ కేవలం ప్రారంభమయ్యే మ్యూటెక్స్‌ను సృష్టిస్తుంది {181C8480-A975-411C-AB0A-630DB8B0A221}ప్రస్తుత వినియోగదారు పేరు తర్వాత. ఇది డంప్ చేయబడిన *.db3 ఫైల్‌ను రీడ్ చేస్తుంది, ఇందులో స్థానం-ఇండిపెండెంట్ కోడ్ మరియు వినియోగాలు ఉంటాయి CreateThread కంటెంట్‌ని అమలు చేయడానికి.

*.db3 ఫైల్ యొక్క కంటెంట్‌లు OceanLotus సమూహం సాధారణంగా ఉపయోగించే షెల్‌కోడ్. మేము ప్రచురించిన ఎమ్యులేటర్ స్క్రిప్ట్‌ని ఉపయోగించి దాని పేలోడ్‌ని మళ్లీ విజయవంతంగా అన్‌ప్యాక్ చేసాము GitHubలో.

స్క్రిప్ట్ చివరి దశను సంగ్రహిస్తుంది. ఈ భాగం బ్యాక్‌డోర్, దీనిని మేము ఇప్పటికే విశ్లేషించాము మునుపటి OceanLotus అధ్యయనం. ఇది GUID ద్వారా నిర్ణయించబడుతుంది {A96B020F-0000-466F-A96D-A91BBF8EAC96} బైనరీ ఫైల్. మాల్వేర్ కాన్ఫిగరేషన్ ఇప్పటికీ PE వనరులో గుప్తీకరించబడింది. ఇది ఇంచుమించు అదే కాన్ఫిగరేషన్‌ను కలిగి ఉంది, అయితే C&C సర్వర్లు మునుపటి వాటి నుండి భిన్నంగా ఉంటాయి:

- andreagahuvrauvin[.]com
- byronorenstein[.]com
- stienollmache[.]xyz

OceanLotus బృందం మళ్లీ గుర్తించకుండా ఉండటానికి వివిధ పద్ధతుల కలయికను ప్రదర్శిస్తుంది. వారు సంక్రమణ ప్రక్రియ యొక్క "శుద్ధి" రేఖాచిత్రంతో తిరిగి వచ్చారు. యాదృచ్ఛిక పేర్లను ఎంచుకోవడం మరియు యాదృచ్ఛిక డేటాతో ఎక్జిక్యూటబుల్‌లను పూరించడం ద్వారా, అవి నమ్మదగిన IoCల సంఖ్యను తగ్గిస్తాయి (హాష్‌లు మరియు ఫైల్ పేర్ల ఆధారంగా). అంతేకాకుండా, థర్డ్-పార్టీ DLL లోడింగ్ వినియోగానికి ధన్యవాదాలు, దాడి చేసేవారు చట్టబద్ధమైన బైనరీని మాత్రమే తీసివేయాలి AcroTranscoder.

స్వీయ-సంగ్రహణ ఆర్కైవ్‌లు

RTF ఫైల్‌ల తర్వాత, వినియోగదారుని మరింత గందరగోళానికి గురిచేయడానికి సమూహం సాధారణ డాక్యుమెంట్ చిహ్నాలతో స్వీయ-సంగ్రహణ (SFX) ఆర్కైవ్‌లకు తరలించబడింది. బెదిరింపు పుస్తకం దీని గురించి వ్రాసింది (చైనీస్ భాషలో లింక్) ప్రారంభించిన తర్వాత, స్వీయ-సంగ్రహణ RAR ఫైల్‌లు తొలగించబడతాయి మరియు .ocx పొడిగింపుతో DLLలు అమలు చేయబడతాయి, వీటిలో చివరి పేలోడ్ గతంలో డాక్యుమెంట్ చేయబడింది {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll. జనవరి 2019 మధ్య నుండి, OceanLotus ఈ టెక్నిక్‌ని మళ్లీ ఉపయోగిస్తోంది, అయితే కాలక్రమేణా కొన్ని కాన్ఫిగరేషన్‌లను మారుస్తోంది. ఈ విభాగంలో మేము సాంకేతికత మరియు మార్పుల గురించి మాట్లాడుతాము.

ఎరను సృష్టిస్తోంది

పత్రం THICH-THONG-LAC-HANH-THAP-THIEN-VIET-NAM (1).EXE (SHA-1: AC10F5B1D5ECAB22B7B418D6E98FA18E32BBDEAB) మొదటిసారి 2018లో కనుగొనబడింది. ఈ SFX ఫైల్ తెలివిగా సృష్టించబడింది - వివరణలో (సంస్కరణ సమాచారం) ఇది JPEG చిత్రం అని చెబుతుంది. SFX స్క్రిప్ట్ ఇలా కనిపిస్తుంది:

మూర్తి 9. SFX ఆదేశాలు

మాల్వేర్ రీసెట్ అవుతుంది {9ec60ada-a200-4159-b310-8071892ed0c3}.ocx (SHA-1: EFAC23B0E6395B1178BCF7086F72344B24C04DCC), అలాగే ఒక చిత్రం 2018 thich thong lac.jpg.

మోసపూరిత చిత్రం ఇలా కనిపిస్తుంది:

మూర్తి 10. డెకోయ్ ఇమేజ్

SFX స్క్రిప్ట్‌లోని మొదటి రెండు పంక్తులు OCX ఫైల్‌కి రెండుసార్లు కాల్ చేయడాన్ని మీరు గమనించి ఉండవచ్చు, కానీ ఇది లోపం కాదు.

{9ec60ada-a200-4159-b310-8071892ed0c3}.ocx (ShLd.dll)

OCX ఫైల్ యొక్క నియంత్రణ ప్రవాహం ఇతర OceanLotus భాగాలతో సమానంగా ఉంటుంది - అనేక కమాండ్ సీక్వెన్సులు JZ/JNZ и PUSH/RET, చెత్త కోడ్‌తో ప్రత్యామ్నాయం.

మూర్తి 11. అస్పష్టమైన కోడ్

జంక్ కోడ్‌ని ఫిల్టర్ చేసిన తర్వాత, ఎగుమతి చేయండి DllRegisterServer, అని పిలిచారు regsvr32.exe, క్రింది విధంగా:

మూర్తి 12. ప్రాథమిక ఇన్‌స్టాలర్ కోడ్

సాధారణంగా, మొదటి కాల్‌లో DllRegisterServer ఎగుమతి రిజిస్ట్రీ విలువను సెట్ చేస్తుంది HKCUSOFTWAREClassesCLSID{E08A0F4B-1F65-4D4D-9A09-BD4625B9C5A1}Model DLLలో ఎన్‌క్రిప్టెడ్ ఆఫ్‌సెట్ కోసం (0x10001DE0).

ఫంక్షన్‌ని రెండవసారి పిలిచినప్పుడు, అది అదే విలువను చదివి ఆ చిరునామా వద్ద అమలు చేస్తుంది. ఇక్కడ నుండి వనరు మరియు RAMలోని అనేక చర్యలు చదవబడతాయి మరియు అమలు చేయబడతాయి.

షెల్‌కోడ్ అనేది గత OceanLotus ప్రచారాలలో ఉపయోగించిన అదే PE లోడర్. దీనిని ఉపయోగించి అనుకరించవచ్చు మా స్క్రిప్ట్. చివరికి అతను రీసెట్ చేస్తాడు db293b825dcc419ba7dc2c49fa2757ee.dll, దానిని మెమరీలోకి లోడ్ చేసి అమలు చేస్తుంది DllEntry.

DLL దాని వనరు యొక్క కంటెంట్‌లను సంగ్రహిస్తుంది, డీక్రిప్ట్ చేస్తుంది (AES-256-CBC) మరియు దానిని డీకంప్రెస్ చేస్తుంది (LZMA). రిసోర్స్ ఒక నిర్దిష్ట ఆకృతిని కలిగి ఉంది, అది డీకంపైల్ చేయడం సులభం.

మూర్తి 13. ఇన్‌స్టాలర్ కాన్ఫిగరేషన్ స్ట్రక్చర్ (కైటైస్ట్రక్ట్ విజువలైజర్)

కాన్ఫిగరేషన్ స్పష్టంగా పేర్కొనబడింది - ప్రివిలేజ్ స్థాయిని బట్టి, బైనరీ డేటా వ్రాయబడుతుంది %appdata%IntellogsBackgroundUploadTask.cpl లేదా %windir%System32BackgroundUploadTask.cpl (లేదా SysWOW64 64-బిట్ సిస్టమ్స్ కోసం).

పేరుతో టాస్క్‌ని సృష్టించడం ద్వారా మరింత పట్టుదల నిర్ధారించబడుతుంది BackgroundUploadTask[junk].jobపేరు [junk] బైట్‌ల సమితిని సూచిస్తుంది 0x9D и 0xA0.

టాస్క్ అప్లికేషన్ పేరు %windir%System32control.exe, మరియు పరామితి విలువ డౌన్‌లోడ్ చేయబడిన బైనరీ ఫైల్‌కి మార్గం. దాచిన పని ప్రతిరోజూ నడుస్తుంది.

నిర్మాణాత్మకంగా, CPL ఫైల్ అనేది అంతర్గత పేరుతో ఒక DLL ac8e06de0a6c4483af9837d96504127e.dll, ఇది ఫంక్షన్‌ను ఎగుమతి చేస్తుంది CPlApplet. ఈ ఫైల్ దాని ఏకైక వనరును డీక్రిప్ట్ చేస్తుంది {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll, అప్పుడు ఈ DLLని లోడ్ చేస్తుంది మరియు దాని ఏకైక ఎగుమతి అని పిలుస్తుంది DllEntry.

బ్యాక్‌డోర్ కాన్ఫిగరేషన్ ఫైల్

బ్యాక్‌డోర్ కాన్ఫిగరేషన్ ఎన్‌క్రిప్ట్ చేయబడింది మరియు దాని వనరులలో పొందుపరచబడింది. కాన్ఫిగరేషన్ ఫైల్ యొక్క నిర్మాణం మునుపటి దానితో సమానంగా ఉంటుంది.

మూర్తి 14. బ్యాక్‌డోర్ కాన్ఫిగరేషన్ స్ట్రక్చర్ (కైటైస్ట్రక్ట్ విజువలైజర్)

నిర్మాణం సారూప్యంగా ఉన్నప్పటికీ, చూపిన వాటి నుండి చాలా ఫీల్డ్ విలువలు నవీకరించబడ్డాయి మా పాత నివేదిక.

బైనరీ శ్రేణి యొక్క మొదటి మూలకం DLL (HttpProv.dll MD5: 2559738D1BD4A999126F900C7357B759), టెన్సెంట్ ద్వారా గుర్తించబడింది. కానీ బైనరీ నుండి ఎగుమతి పేరు తీసివేయబడినందున, హాష్‌లు సరిపోలడం లేదు.

అదనపు పరిశోధన

నమూనాలను సేకరిస్తున్నప్పుడు, మేము కొన్ని లక్షణాలను గమనించాము. ఇప్పుడే వివరించిన నమూనా జూలై 2018లో కనిపించింది మరియు ఇలాంటివి ఇటీవల జనవరి మధ్య నుండి ఫిబ్రవరి 2019 ప్రారంభంలో కనిపించాయి. SFX ఆర్కైవ్ ఇన్ఫెక్షన్ వెక్టర్‌గా ఉపయోగించబడింది, చట్టబద్ధమైన డికోయ్ డాక్యుమెంట్ మరియు హానికరమైన OSX ఫైల్‌ను వదిలివేస్తుంది.

OceanLotus నకిలీ టైమ్‌స్టాంప్‌లను ఉపయోగిస్తున్నప్పటికీ, SFX మరియు OCX ఫైల్‌ల టైమ్‌స్టాంప్‌లు ఎల్లప్పుడూ ఒకేలా ఉన్నాయని మేము గమనించాము (0x57B0C36A (08/14/2016 @ 7:15pm UTC) మరియు 0x498BE80F (02/06/2009 @ 7:34am UTC) వరుసగా). రచయితలు ఒకే రకమైన టెంప్లేట్‌లను ఉపయోగించే మరియు కొన్ని లక్షణాలను మార్చే "డిజైనర్"ని కలిగి ఉన్నారని ఇది బహుశా సూచిస్తుంది.

మేము 2018 ప్రారంభం నుండి అధ్యయనం చేసిన పత్రాలలో, దాడి చేసేవారికి ఆసక్తి ఉన్న దేశాలను సూచించే వివిధ పేర్లు ఉన్నాయి:

— కంబోడియా మీడియా యొక్క కొత్త సంప్రదింపు సమాచారం(New).xls.exe
— 李建香 (个人简历).exe (CV యొక్క నకిలీ pdf పత్రం)
— అభిప్రాయం, జూలై 28-29, 2018.exe నుండి USAలో ర్యాలీ

వెనుక తలుపు కనుగొనబడినందున {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll మరియు అనేక మంది పరిశోధకులచే దాని విశ్లేషణ యొక్క ప్రచురణ, మేము మాల్వేర్ కాన్ఫిగరేషన్ డేటాలో కొన్ని మార్పులను గమనించాము.

మొదట, రచయితలు సహాయక DLL ల నుండి పేర్లను తీసివేయడం ప్రారంభించారు (DNSprov.dll మరియు రెండు వెర్షన్లు HttpProv.dll) ఆపరేటర్లు మూడవ DLL (రెండవ వెర్షన్) ప్యాకేజింగ్‌ను నిలిపివేశారు HttpProv.dll), ఒకదానిని మాత్రమే పొందుపరచడానికి ఎంచుకోవడం.

రెండవది, అనేక బ్యాక్‌డోర్ కాన్ఫిగరేషన్ ఫీల్డ్‌లు మార్చబడ్డాయి, అనేక IoCలు అందుబాటులోకి వచ్చినందున గుర్తించకుండా తప్పించుకునే అవకాశం ఉంది. రచయితలు సవరించిన ముఖ్యమైన ఫీల్డ్‌లు:

• AppX రిజిస్ట్రీ కీ మార్చబడింది (IoCలను చూడండి)
• మ్యూటెక్స్ ఎన్‌కోడింగ్ స్ట్రింగ్ ("def", "abc", "ghi")
• పోర్ట్ సంఖ్య

చివరగా, విశ్లేషించబడిన అన్ని కొత్త సంస్కరణలు IoCs విభాగంలో జాబితా చేయబడిన కొత్త C&Cలను కలిగి ఉంటాయి.

కనుగొన్న

OceanLotus అభివృద్ధి చెందుతూనే ఉంది. సైబర్ గ్రూప్ టూల్స్ మరియు డికాయ్‌లను మెరుగుపరచడం మరియు విస్తరించడంపై దృష్టి సారించింది. ఉద్దేశించిన బాధితులకు సంబంధించిన అంశం దృష్టిని ఆకర్షించే పత్రాలను ఉపయోగించి రచయితలు హానికరమైన పేలోడ్‌లను దాచిపెడతారు. వారు కొత్త పథకాలను అభివృద్ధి చేస్తారు మరియు ఈక్వేషన్ ఎడిటర్ దోపిడీ వంటి పబ్లిక్‌గా అందుబాటులో ఉన్న సాధనాలను కూడా ఉపయోగిస్తారు. అంతేకాకుండా, వారు బాధితుల మెషీన్‌లలో మిగిలి ఉన్న కళాఖండాల సంఖ్యను తగ్గించడానికి సాధనాలను మెరుగుపరుస్తున్నారు, తద్వారా యాంటీవైరస్ సాఫ్ట్‌వేర్ ద్వారా గుర్తించే అవకాశాన్ని తగ్గిస్తుంది.

రాజీకి సూచికలు

రాజీ సూచికలు అలాగే MITER ATT&CK గుణాలు అందుబాటులో ఉన్నాయి Welivesecurity పై и GitHubలో.

మూలం: www.habr.com