ఈ పోస్ట్లో సైబర్ గ్రూప్ OceanLotus (APT32 మరియు APT-C-00) ఇటీవల పబ్లిక్గా అందుబాటులో ఉన్న దోపిడీలలో ఒకదాన్ని ఎలా ఉపయోగించారో మీకు తెలియజేస్తాము
OceanLotus సైబర్ గూఢచర్యంలో ప్రత్యేకత కలిగి ఉంది, ఆగ్నేయాసియాలోని దేశాలకు ప్రాధాన్యతా లక్ష్యాలు ఉన్నాయి. దాడి చేసేవారు బ్యాక్డోర్ను అమలు చేయడానికి వారిని ఒప్పించేందుకు సంభావ్య బాధితుల దృష్టిని ఆకర్షించే నకిలీ పత్రాలను రూపొందిస్తారు మరియు సాధనాలను అభివృద్ధి చేయడంలో కూడా పని చేస్తున్నారు. "డబుల్-ఎక్స్టెన్షన్" ఫైల్లు, సెల్ఫ్-ఎక్స్ట్రాక్టింగ్ ఆర్కైవ్లు, మాక్రోలతో కూడిన డాక్యుమెంట్లు, తెలిసిన ఎక్స్ప్లోయిట్ల వరకు హనీపాట్లను రూపొందించడానికి ఉపయోగించే పద్ధతులు దాడులు అంతటా మారుతూ ఉంటాయి.
మైక్రోసాఫ్ట్ ఈక్వేషన్ ఎడిటర్లో దోపిడీని ఉపయోగించడం
2018 మధ్యలో, OceanLotus CVE-2017-11882 దుర్బలత్వాన్ని ఉపయోగించుకునే ప్రచారాన్ని నిర్వహించింది. సైబర్ సమూహం యొక్క హానికరమైన పత్రాలలో ఒకటి 360 థ్రెట్ ఇంటెలిజెన్స్ సెంటర్ నుండి నిపుణులచే విశ్లేషించబడింది (
మొదటి దశ
పత్రం FW Report on demonstration of former CNRP in Republic of Korea.doc
(SHA-1: D1357B284C951470066AAA7A8228190B88A5C7C3
) పైన అధ్యయనంలో పేర్కొన్న దానితో సమానంగా ఉంటుంది. ఇది ఆసక్తికరంగా ఉంది ఎందుకంటే ఇది కంబోడియన్ రాజకీయాలపై ఆసక్తి ఉన్న వినియోగదారులను లక్ష్యంగా చేసుకుంది (CNRP - కంబోడియా నేషనల్ రెస్క్యూ పార్టీ, 2017 చివరిలో రద్దు చేయబడింది). .doc పొడిగింపు ఉన్నప్పటికీ, పత్రం RTF ఆకృతిలో ఉంది (క్రింద ఉన్న చిత్రాన్ని చూడండి), చెత్త కోడ్ను కలిగి ఉంది మరియు వక్రీకరించబడింది.
మూర్తి 1. RTFలో "చెత్త"
గార్బుల్డ్ ఎలిమెంట్స్ ఉన్నప్పటికీ, Word ఈ RTF ఫైల్ని విజయవంతంగా తెరుస్తుంది. మీరు మూర్తి 2లో చూడగలిగినట్లుగా, ఆఫ్సెట్ 0xC00 వద్ద EQNOLEFILEHDR నిర్మాణం ఉంది, దాని తర్వాత MTEF హెడర్, ఆపై ఫాంట్ కోసం MTEF ఎంట్రీ (మూర్తి 3) ఉంటుంది.
మూర్తి 2. ఫాంట్ ఎంట్రీ విలువలు
చిత్రం 3.
పొలంలో పొంగిపొర్లే అవకాశం ఉంది పేరు, ఎందుకంటే దాని పరిమాణం కాపీ చేయడానికి ముందు తనిఖీ చేయబడదు. చాలా పొడవుగా ఉన్న పేరు దుర్బలత్వాన్ని ప్రేరేపిస్తుంది. మీరు RTF ఫైల్లోని కంటెంట్ల నుండి చూడగలిగినట్లుగా (మూర్తి 0లో 26xC2 ఆఫ్సెట్), బఫర్ షెల్కోడ్తో నిండి ఉంటుంది, దాని తర్వాత డమ్మీ కమాండ్ (0x90
) మరియు తిరిగి చిరునామా 0x402114
. చిరునామా డైలాగ్ మూలకం EQNEDT32.exe
, సూచనలను సూచిస్తుంది RET
. ఇది ఫీల్డ్ ప్రారంభానికి EIPని సూచించేలా చేస్తుంది పేరుషెల్కోడ్ను కలిగి ఉంది.
మూర్తి 4. ఎక్స్ప్లోయిట్ షెల్కోడ్ ప్రారంభం
చిరునామా 0x45BD3C
ప్రస్తుతం లోడ్ చేయబడిన స్ట్రక్చర్కు పాయింటర్ను చేరుకునే వరకు డిఫరెన్స్ చేయబడిన వేరియబుల్ను నిల్వ చేస్తుంది MTEFData
. మిగిలిన షెల్కోడ్ ఇక్కడ ఉంది.
షెల్కోడ్ యొక్క ఉద్దేశ్యం ఓపెన్ డాక్యుమెంట్లో పొందుపరిచిన షెల్కోడ్ యొక్క రెండవ భాగాన్ని అమలు చేయడం. ఒరిజినల్ షెల్కోడ్ మొదట అన్ని సిస్టమ్ డిస్క్రిప్టర్లను మళ్ళించడం ద్వారా ఓపెన్ డాక్యుమెంట్ యొక్క ఫైల్ డిస్క్రిప్టర్ను కనుగొనడానికి ప్రయత్నిస్తుంది (NtQuerySystemInformation
వాదనతో SystemExtendedHandleInformation
) మరియు అవి సరిపోతాయో లేదో తనిఖీ చేస్తోంది PID డిస్క్రిప్టర్ మరియు PID ప్రక్రియ WinWord
మరియు పత్రం యాక్సెస్ మాస్క్తో తెరవబడిందా - 0x12019F
.
సరైన హ్యాండిల్ కనుగొనబడిందని నిర్ధారించడానికి (మరియు మరొక ఓపెన్ డాక్యుమెంట్కి హ్యాండిల్ కాదు), ఫైల్ యొక్క కంటెంట్లు ఫంక్షన్ని ఉపయోగించి ప్రదర్శించబడతాయి CreateFileMapping
, మరియు షెల్ కోడ్ డాక్యుమెంట్ యొక్క చివరి నాలుగు బైట్లు సరిపోలుతుందో లేదో తనిఖీ చేస్తుంది "yyyy
"(గుడ్డు వేట పద్ధతి). సరిపోలిక కనుగొనబడిన తర్వాత, పత్రం తాత్కాలిక ఫోల్డర్కి కాపీ చేయబడుతుంది (GetTempPath
) ఎలా ole.dll
. అప్పుడు పత్రం యొక్క చివరి 12 బైట్లు చదవబడతాయి.
మూర్తి 5. డాక్యుమెంట్ మార్కర్ల ముగింపు
మార్కర్ల మధ్య 32-బిట్ విలువ AABBCCDD
и yyyy
తదుపరి షెల్కోడ్ ఆఫ్సెట్. ఇది ఫంక్షన్ ఉపయోగించి అంటారు CreateThread
. ఇంతకు ముందు OceanLotus సమూహం ఉపయోగించిన అదే షెల్కోడ్ని సంగ్రహించారు.
రెండవ దశ
భాగాలు తొలగించడం
ఫైల్ మరియు డైరెక్టరీ పేర్లు డైనమిక్గా ఎంపిక చేయబడ్డాయి. కోడ్ యాదృచ్ఛికంగా ఎక్జిక్యూటబుల్ లేదా DLL ఫైల్ పేరును ఎంచుకుంటుంది C:Windowssystem32
. ఇది దాని వనరులకు అభ్యర్థన చేస్తుంది మరియు ఫీల్డ్ను తిరిగి పొందుతుంది FileDescription
ఫోల్డర్ పేరుగా ఉపయోగించడానికి. ఇది పని చేయకపోతే, కోడ్ యాదృచ్ఛికంగా డైరెక్టరీల నుండి ఫోల్డర్ పేరును ఎంచుకుంటుంది %ProgramFiles%
లేదా C:Windows
(GetWindowsDirectoryW నుండి). ఇది ఇప్పటికే ఉన్న ఫైల్లతో విభేదించే పేరును ఉపయోగించకుండా చేస్తుంది మరియు కింది పదాలను కలిగి ఉండదని నిర్ధారిస్తుంది: windows
, Microsoft
, desktop
, system
, system32
లేదా syswow64
. డైరెక్టరీ ఇప్పటికే ఉన్నట్లయితే, పేరుకు "NLS_{6 అక్షరాలు}" జోడించబడుతుంది.
వనరు 0x102
విశ్లేషించబడుతుంది మరియు ఫైల్లు డంప్ చేయబడతాయి %ProgramFiles%
లేదా %AppData%
, యాదృచ్ఛికంగా ఎంచుకున్న ఫోల్డర్కి. అదే విలువలను కలిగి ఉండేలా సృష్టి సమయం మార్చబడింది kernel32.dll
.
ఉదాహరణకు, ఎక్జిక్యూటబుల్ని ఎంచుకోవడం ద్వారా సృష్టించబడిన ఫైల్ల ఫోల్డర్ మరియు జాబితా ఇక్కడ ఉంది C:Windowssystem32TCPSVCS.exe
డేటా మూలంగా.
మూర్తి 6. వివిధ భాగాలను సంగ్రహించడం
వనరుల నిర్మాణం 0x102
డ్రాపర్లో చాలా క్లిష్టంగా ఉంటుంది. క్లుప్తంగా, ఇది కలిగి ఉంటుంది:
- ఫైల్ పేర్లు
- ఫైల్ పరిమాణం మరియు కంటెంట్
- కంప్రెషన్ ఫార్మాట్ (COMPRESSION_FORMAT_LZNT1
, ఫంక్షన్ ద్వారా ఉపయోగించబడుతుంది RtlDecompressBuffer
)
మొదటి ఫైల్ రీసెట్ చేయబడింది TCPSVCS.exe
, ఇది చట్టబద్ధమైనది AcroTranscoder.exe
(ప్రకారం FileDescription
, SHA-1: 2896738693A8F36CC7AD83EF1FA46F82F32BE5A3
).
కొన్ని DLL ఫైల్లు 11 MB కంటే పెద్దవిగా ఉన్నాయని మీరు గమనించి ఉండవచ్చు. ఎందుకంటే ఎక్జిక్యూటబుల్ ఫైల్ లోపల యాదృచ్ఛిక డేటా యొక్క పెద్ద బఫర్ ఉంచబడుతుంది. కొన్ని భద్రతా ఉత్పత్తుల ద్వారా గుర్తించబడకుండా ఉండటానికి ఇది ఒక మార్గం.
పట్టుదలకు భరోసా
వనరు 0x101
డ్రాపర్లో రెండు 32-బిట్ పూర్ణాంకాలు ఉన్నాయి, అవి ఎలా నిలకడను అందించాలో పేర్కొంటాయి. అడ్మినిస్ట్రేటర్ హక్కులు లేకుండా మాల్వేర్ ఎలా కొనసాగుతుందో మొదటి విలువ నిర్దేశిస్తుంది.
టేబుల్ 1. అడ్మినిస్ట్రేటర్ హక్కులు లేకుండా పెర్సిస్టెన్స్ మెకానిజం
అడ్మినిస్ట్రేటర్ హక్కులతో రన్ అవుతున్నప్పుడు మాల్వేర్ ఎలా నిలకడను సాధించాలో రెండవ పూర్ణాంకం యొక్క విలువ నిర్దేశిస్తుంది.
టేబుల్ 2. అడ్మినిస్ట్రేటర్ హక్కులతో పెర్సిస్టెన్స్ మెకానిజం
సేవ పేరు పొడిగింపు లేని ఫైల్ పేరు; ప్రదర్శన పేరు ఫోల్డర్ పేరు, కానీ అది ఇప్పటికే ఉన్నట్లయితే, దానికి “ స్ట్రింగ్ జోడించబడుతుంది.Revision 1
” (ఉపయోగించని పేరు కనుగొనబడే వరకు సంఖ్య పెరుగుతుంది). ఆపరేటర్లు సేవ ద్వారా పట్టుదల బలంగా ఉండేలా చూసుకున్నారు - విఫలమైతే, సేవ 1 సెకను తర్వాత పునఃప్రారంభించబడాలి. అప్పుడు విలువ WOW64
కొత్త సేవ యొక్క రిజిస్ట్రీ కీ 4కి సెట్ చేయబడింది, ఇది 32-బిట్ సేవ అని సూచిస్తుంది.
అనేక COM ఇంటర్ఫేస్ల ద్వారా షెడ్యూల్ చేయబడిన పని సృష్టించబడుతుంది: ITaskScheduler
, ITask
, ITaskTrigger
, IPersistFile
и ITaskScheduler
. ముఖ్యంగా, మాల్వేర్ దాచిన పనిని సృష్టిస్తుంది, ప్రస్తుత వినియోగదారు లేదా నిర్వాహకుడి సమాచారంతో పాటు ఖాతా సమాచారాన్ని సెట్ చేస్తుంది, ఆపై ట్రిగ్గర్ను సెట్ చేస్తుంది.
ఇది 24 గంటల వ్యవధి మరియు 10 నిమిషాల రెండు ఎగ్జిక్యూషన్ల మధ్య విరామాలతో రోజువారీ పని, అంటే ఇది నిరంతరం నడుస్తుంది.
హానికరమైన బిట్
మా ఉదాహరణలో, ఎక్జిక్యూటబుల్ ఫైల్ TCPSVCS.exe
(AcroTranscoder.exe
) అనేది దానితో పాటు రీసెట్ చేయబడిన DLLలను లోడ్ చేసే చట్టబద్ధమైన సాఫ్ట్వేర్. ఈ సందర్భంలో, ఇది ఆసక్తిని కలిగిస్తుంది Flash Video Extension.dll
.
దాని ఫంక్షన్ DLLMain
కేవలం మరొక ఫంక్షన్ని పిలుస్తుంది. కొన్ని అస్పష్టమైన అంచనాలు ఉన్నాయి:
మూర్తి 7. ఫజ్జీ ప్రిడికేట్స్
ఈ తప్పుదారి పట్టించే తనిఖీల తర్వాత, కోడ్ ఒక విభాగాన్ని పొందుతుంది .text
ఫైలు TCPSVCS.exe
, దాని రక్షణను మారుస్తుంది PAGE_EXECUTE_READWRITE
మరియు నకిలీ సూచనలను జోడించడం ద్వారా దాన్ని తిరిగి వ్రాస్తుంది:
మూర్తి 8. సూచనల క్రమం
ఫంక్షన్ చిరునామాకు చివరిలో FLVCore::Uninitialize(void)
, ఎగుమతి చేయబడింది Flash Video Extension.dll
, సూచన జోడించబడింది CALL
. దీని అర్థం హానికరమైన DLL లోడ్ అయిన తర్వాత, రన్టైమ్ కాల్ చేసినప్పుడు WinMain
в TCPSVCS.exe
, సూచన పాయింటర్ NOPని సూచిస్తుంది, దీనివల్ల FLVCore::Uninitialize(void)
, తదుపరి దశ.
ఫంక్షన్ కేవలం ప్రారంభమయ్యే మ్యూటెక్స్ను సృష్టిస్తుంది {181C8480-A975-411C-AB0A-630DB8B0A221}
ప్రస్తుత వినియోగదారు పేరు తర్వాత. ఇది డంప్ చేయబడిన *.db3 ఫైల్ను రీడ్ చేస్తుంది, ఇందులో స్థానం-ఇండిపెండెంట్ కోడ్ మరియు వినియోగాలు ఉంటాయి CreateThread
కంటెంట్ని అమలు చేయడానికి.
*.db3 ఫైల్ యొక్క కంటెంట్లు OceanLotus సమూహం సాధారణంగా ఉపయోగించే షెల్కోడ్. మేము ప్రచురించిన ఎమ్యులేటర్ స్క్రిప్ట్ని ఉపయోగించి దాని పేలోడ్ని మళ్లీ విజయవంతంగా అన్ప్యాక్ చేసాము
స్క్రిప్ట్ చివరి దశను సంగ్రహిస్తుంది. ఈ భాగం బ్యాక్డోర్, దీనిని మేము ఇప్పటికే విశ్లేషించాము {A96B020F-0000-466F-A96D-A91BBF8EAC96}
బైనరీ ఫైల్. మాల్వేర్ కాన్ఫిగరేషన్ ఇప్పటికీ PE వనరులో గుప్తీకరించబడింది. ఇది ఇంచుమించు అదే కాన్ఫిగరేషన్ను కలిగి ఉంది, అయితే C&C సర్వర్లు మునుపటి వాటి నుండి భిన్నంగా ఉంటాయి:
- andreagahuvrauvin[.]com
- byronorenstein[.]com
- stienollmache[.]xyz
OceanLotus బృందం మళ్లీ గుర్తించకుండా ఉండటానికి వివిధ పద్ధతుల కలయికను ప్రదర్శిస్తుంది. వారు సంక్రమణ ప్రక్రియ యొక్క "శుద్ధి" రేఖాచిత్రంతో తిరిగి వచ్చారు. యాదృచ్ఛిక పేర్లను ఎంచుకోవడం మరియు యాదృచ్ఛిక డేటాతో ఎక్జిక్యూటబుల్లను పూరించడం ద్వారా, అవి నమ్మదగిన IoCల సంఖ్యను తగ్గిస్తాయి (హాష్లు మరియు ఫైల్ పేర్ల ఆధారంగా). అంతేకాకుండా, థర్డ్-పార్టీ DLL లోడింగ్ వినియోగానికి ధన్యవాదాలు, దాడి చేసేవారు చట్టబద్ధమైన బైనరీని మాత్రమే తీసివేయాలి AcroTranscoder
.
స్వీయ-సంగ్రహణ ఆర్కైవ్లు
RTF ఫైల్ల తర్వాత, వినియోగదారుని మరింత గందరగోళానికి గురిచేయడానికి సమూహం సాధారణ డాక్యుమెంట్ చిహ్నాలతో స్వీయ-సంగ్రహణ (SFX) ఆర్కైవ్లకు తరలించబడింది. బెదిరింపు పుస్తకం దీని గురించి వ్రాసింది ({A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll
. జనవరి 2019 మధ్య నుండి, OceanLotus ఈ టెక్నిక్ని మళ్లీ ఉపయోగిస్తోంది, అయితే కాలక్రమేణా కొన్ని కాన్ఫిగరేషన్లను మారుస్తోంది. ఈ విభాగంలో మేము సాంకేతికత మరియు మార్పుల గురించి మాట్లాడుతాము.
ఎరను సృష్టిస్తోంది
పత్రం THICH-THONG-LAC-HANH-THAP-THIEN-VIET-NAM (1).EXE
(SHA-1: AC10F5B1D5ECAB22B7B418D6E98FA18E32BBDEAB
) మొదటిసారి 2018లో కనుగొనబడింది. ఈ SFX ఫైల్ తెలివిగా సృష్టించబడింది - వివరణలో (సంస్కరణ సమాచారం) ఇది JPEG చిత్రం అని చెబుతుంది. SFX స్క్రిప్ట్ ఇలా కనిపిస్తుంది:
మూర్తి 9. SFX ఆదేశాలు
మాల్వేర్ రీసెట్ అవుతుంది {9ec60ada-a200-4159-b310-8071892ed0c3}.ocx
(SHA-1: EFAC23B0E6395B1178BCF7086F72344B24C04DCC
), అలాగే ఒక చిత్రం 2018 thich thong lac.jpg.
మోసపూరిత చిత్రం ఇలా కనిపిస్తుంది:
మూర్తి 10. డెకోయ్ ఇమేజ్
SFX స్క్రిప్ట్లోని మొదటి రెండు పంక్తులు OCX ఫైల్కి రెండుసార్లు కాల్ చేయడాన్ని మీరు గమనించి ఉండవచ్చు, కానీ ఇది లోపం కాదు.
{9ec60ada-a200-4159-b310-8071892ed0c3}.ocx (ShLd.dll)
OCX ఫైల్ యొక్క నియంత్రణ ప్రవాహం ఇతర OceanLotus భాగాలతో సమానంగా ఉంటుంది - అనేక కమాండ్ సీక్వెన్సులు JZ/JNZ
и PUSH/RET
, చెత్త కోడ్తో ప్రత్యామ్నాయం.
మూర్తి 11. అస్పష్టమైన కోడ్
జంక్ కోడ్ని ఫిల్టర్ చేసిన తర్వాత, ఎగుమతి చేయండి DllRegisterServer
, అని పిలిచారు regsvr32.exe
, క్రింది విధంగా:
మూర్తి 12. ప్రాథమిక ఇన్స్టాలర్ కోడ్
సాధారణంగా, మొదటి కాల్లో DllRegisterServer
ఎగుమతి రిజిస్ట్రీ విలువను సెట్ చేస్తుంది HKCUSOFTWAREClassesCLSID{E08A0F4B-1F65-4D4D-9A09-BD4625B9C5A1}Model
DLLలో ఎన్క్రిప్టెడ్ ఆఫ్సెట్ కోసం (0x10001DE0
).
ఫంక్షన్ని రెండవసారి పిలిచినప్పుడు, అది అదే విలువను చదివి ఆ చిరునామా వద్ద అమలు చేస్తుంది. ఇక్కడ నుండి వనరు మరియు RAMలోని అనేక చర్యలు చదవబడతాయి మరియు అమలు చేయబడతాయి.
షెల్కోడ్ అనేది గత OceanLotus ప్రచారాలలో ఉపయోగించిన అదే PE లోడర్. దీనిని ఉపయోగించి అనుకరించవచ్చు db293b825dcc419ba7dc2c49fa2757ee.dll
, దానిని మెమరీలోకి లోడ్ చేసి అమలు చేస్తుంది DllEntry
.
DLL దాని వనరు యొక్క కంటెంట్లను సంగ్రహిస్తుంది, డీక్రిప్ట్ చేస్తుంది (AES-256-CBC) మరియు దానిని డీకంప్రెస్ చేస్తుంది (LZMA). రిసోర్స్ ఒక నిర్దిష్ట ఆకృతిని కలిగి ఉంది, అది డీకంపైల్ చేయడం సులభం.
మూర్తి 13. ఇన్స్టాలర్ కాన్ఫిగరేషన్ స్ట్రక్చర్ (కైటైస్ట్రక్ట్ విజువలైజర్)
కాన్ఫిగరేషన్ స్పష్టంగా పేర్కొనబడింది - ప్రివిలేజ్ స్థాయిని బట్టి, బైనరీ డేటా వ్రాయబడుతుంది %appdata%IntellogsBackgroundUploadTask.cpl
లేదా %windir%System32BackgroundUploadTask.cpl
(లేదా SysWOW64
64-బిట్ సిస్టమ్స్ కోసం).
పేరుతో టాస్క్ని సృష్టించడం ద్వారా మరింత పట్టుదల నిర్ధారించబడుతుంది BackgroundUploadTask[junk].job
పేరు [junk]
బైట్ల సమితిని సూచిస్తుంది 0x9D
и 0xA0
.
టాస్క్ అప్లికేషన్ పేరు %windir%System32control.exe
, మరియు పరామితి విలువ డౌన్లోడ్ చేయబడిన బైనరీ ఫైల్కి మార్గం. దాచిన పని ప్రతిరోజూ నడుస్తుంది.
నిర్మాణాత్మకంగా, CPL ఫైల్ అనేది అంతర్గత పేరుతో ఒక DLL ac8e06de0a6c4483af9837d96504127e.dll
, ఇది ఫంక్షన్ను ఎగుమతి చేస్తుంది CPlApplet
. ఈ ఫైల్ దాని ఏకైక వనరును డీక్రిప్ట్ చేస్తుంది {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll
, అప్పుడు ఈ DLLని లోడ్ చేస్తుంది మరియు దాని ఏకైక ఎగుమతి అని పిలుస్తుంది DllEntry
.
బ్యాక్డోర్ కాన్ఫిగరేషన్ ఫైల్
బ్యాక్డోర్ కాన్ఫిగరేషన్ ఎన్క్రిప్ట్ చేయబడింది మరియు దాని వనరులలో పొందుపరచబడింది. కాన్ఫిగరేషన్ ఫైల్ యొక్క నిర్మాణం మునుపటి దానితో సమానంగా ఉంటుంది.
మూర్తి 14. బ్యాక్డోర్ కాన్ఫిగరేషన్ స్ట్రక్చర్ (కైటైస్ట్రక్ట్ విజువలైజర్)
నిర్మాణం సారూప్యంగా ఉన్నప్పటికీ, చూపిన వాటి నుండి చాలా ఫీల్డ్ విలువలు నవీకరించబడ్డాయి
బైనరీ శ్రేణి యొక్క మొదటి మూలకం DLL (HttpProv.dll
MD5: 2559738D1BD4A999126F900C7357B759
),
అదనపు పరిశోధన
నమూనాలను సేకరిస్తున్నప్పుడు, మేము కొన్ని లక్షణాలను గమనించాము. ఇప్పుడే వివరించిన నమూనా జూలై 2018లో కనిపించింది మరియు ఇలాంటివి ఇటీవల జనవరి మధ్య నుండి ఫిబ్రవరి 2019 ప్రారంభంలో కనిపించాయి. SFX ఆర్కైవ్ ఇన్ఫెక్షన్ వెక్టర్గా ఉపయోగించబడింది, చట్టబద్ధమైన డికోయ్ డాక్యుమెంట్ మరియు హానికరమైన OSX ఫైల్ను వదిలివేస్తుంది.
OceanLotus నకిలీ టైమ్స్టాంప్లను ఉపయోగిస్తున్నప్పటికీ, SFX మరియు OCX ఫైల్ల టైమ్స్టాంప్లు ఎల్లప్పుడూ ఒకేలా ఉన్నాయని మేము గమనించాము (0x57B0C36A
(08/14/2016 @ 7:15pm UTC) మరియు 0x498BE80F
(02/06/2009 @ 7:34am UTC) వరుసగా). రచయితలు ఒకే రకమైన టెంప్లేట్లను ఉపయోగించే మరియు కొన్ని లక్షణాలను మార్చే "డిజైనర్"ని కలిగి ఉన్నారని ఇది బహుశా సూచిస్తుంది.
మేము 2018 ప్రారంభం నుండి అధ్యయనం చేసిన పత్రాలలో, దాడి చేసేవారికి ఆసక్తి ఉన్న దేశాలను సూచించే వివిధ పేర్లు ఉన్నాయి:
— కంబోడియా మీడియా యొక్క కొత్త సంప్రదింపు సమాచారం(New).xls.exe
— 李建香 (个人简历).exe (CV యొక్క నకిలీ pdf పత్రం)
— అభిప్రాయం, జూలై 28-29, 2018.exe నుండి USAలో ర్యాలీ
వెనుక తలుపు కనుగొనబడినందున {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll
మరియు అనేక మంది పరిశోధకులచే దాని విశ్లేషణ యొక్క ప్రచురణ, మేము మాల్వేర్ కాన్ఫిగరేషన్ డేటాలో కొన్ని మార్పులను గమనించాము.
మొదట, రచయితలు సహాయక DLL ల నుండి పేర్లను తీసివేయడం ప్రారంభించారు (DNSprov.dll
మరియు రెండు వెర్షన్లు HttpProv.dll
) ఆపరేటర్లు మూడవ DLL (రెండవ వెర్షన్) ప్యాకేజింగ్ను నిలిపివేశారు HttpProv.dll
), ఒకదానిని మాత్రమే పొందుపరచడానికి ఎంచుకోవడం.
రెండవది, అనేక బ్యాక్డోర్ కాన్ఫిగరేషన్ ఫీల్డ్లు మార్చబడ్డాయి, అనేక IoCలు అందుబాటులోకి వచ్చినందున గుర్తించకుండా తప్పించుకునే అవకాశం ఉంది. రచయితలు సవరించిన ముఖ్యమైన ఫీల్డ్లు:
- AppX రిజిస్ట్రీ కీ మార్చబడింది (IoCలను చూడండి)
- మ్యూటెక్స్ ఎన్కోడింగ్ స్ట్రింగ్ ("def", "abc", "ghi")
- పోర్ట్ సంఖ్య
చివరగా, విశ్లేషించబడిన అన్ని కొత్త సంస్కరణలు IoCs విభాగంలో జాబితా చేయబడిన కొత్త C&Cలను కలిగి ఉంటాయి.
కనుగొన్న
OceanLotus అభివృద్ధి చెందుతూనే ఉంది. సైబర్ గ్రూప్ టూల్స్ మరియు డికాయ్లను మెరుగుపరచడం మరియు విస్తరించడంపై దృష్టి సారించింది. ఉద్దేశించిన బాధితులకు సంబంధించిన అంశం దృష్టిని ఆకర్షించే పత్రాలను ఉపయోగించి రచయితలు హానికరమైన పేలోడ్లను దాచిపెడతారు. వారు కొత్త పథకాలను అభివృద్ధి చేస్తారు మరియు ఈక్వేషన్ ఎడిటర్ దోపిడీ వంటి పబ్లిక్గా అందుబాటులో ఉన్న సాధనాలను కూడా ఉపయోగిస్తారు. అంతేకాకుండా, వారు బాధితుల మెషీన్లలో మిగిలి ఉన్న కళాఖండాల సంఖ్యను తగ్గించడానికి సాధనాలను మెరుగుపరుస్తున్నారు, తద్వారా యాంటీవైరస్ సాఫ్ట్వేర్ ద్వారా గుర్తించే అవకాశాన్ని తగ్గిస్తుంది.
రాజీకి సూచికలు
రాజీ సూచికలు అలాగే MITER ATT&CK గుణాలు అందుబాటులో ఉన్నాయి
మూలం: www.habr.com