پوسٹ میں، ہم آپ کو بتائیں گے کہ کس طرح OceanLotus cybergroup (APT32 اور APT-C-00) نے حال ہی میں عوامی طور پر دستیاب کارناموں میں سے ایک کا استعمال کیا ، مائیکروسافٹ آفس میں میموری کی بدعنوانی کے خطرات، اور کس طرح گروپ کا میلویئر نشانات چھوڑے بغیر سمجھوتہ کرنے والے سسٹمز پر استقامت کو یقینی بناتا ہے۔ اگلا، ہم بیان کرتے ہیں کہ کس طرح، 2019 کے آغاز سے، گروپ کوڈ چلانے کے لیے خود سے نکالنے والے آرکائیوز کا استعمال کر رہا ہے۔
OceanLotus سائبر جاسوسی میں مہارت رکھتا ہے، ترجیحی اہداف جنوب مشرقی ایشیا کے ممالک ہیں۔ حملہ آور جعلی دستاویزات تیار کرتے ہیں جو ممکنہ متاثرین کی توجہ اپنی طرف مبذول کرواتے ہیں تاکہ انہیں بیک ڈور انجام دینے پر راضی کیا جا سکے اور آلات کی تیاری پر بھی کام کریں۔ ہنی پاٹس بنانے کے لیے استعمال کیے جانے والے طریقے مختلف حملوں میں مختلف ہوتے ہیں - "ڈبل ایکسٹینشن" فائلوں، خود سے نکالنے والے آرکائیوز، میکرو دستاویزات سے لے کر معروف کارناموں تک۔
مائیکروسافٹ ایکویشن ایڈیٹر میں استحصال کا استعمال
2018 کے وسط میں، OceanLotus نے CVE-2017-11882 کے خطرے سے فائدہ اٹھاتے ہوئے ایک مہم چلائی۔ سائبر گروپ کی ایک بدنیتی پر مبنی دستاویزات کا تجزیہ 360 تھریٹ انٹیلی جنس سینٹر کے ماہرین نے کیا ()، بشمول استحصال کی تفصیلی وضاحت۔ ذیل کی پوسٹ اس طرح کی بدنیتی پر مبنی دستاویز کا ایک جائزہ ہے۔
پہلے مرحلے
دستاویز FW Report on demonstration of former CNRP in Republic of Korea.doc (sha-1: D1357B284C951470066AAA7A8228190B88A5C7C3) اوپر کے مطالعہ میں بیان کردہ جیسا ہی ہے۔ یہ اس لحاظ سے دلچسپ ہے کہ اس کا مقصد ان صارفین کے لیے ہے جو کمبوڈیا کی سیاست میں دلچسپی رکھتے ہیں (CNRP - کمبوڈیا نیشنل سالویشن پارٹی، 2017 کے آخر میں تحلیل ہو گئی)۔ .doc ایکسٹینشن کے باوجود، دستاویز RTF فارمیٹ میں ہے (ذیل میں دی گئی تصویر دیکھیں)، ردی کوڈ پر مشتمل ہے، اور یہ بھی خراب ہے۔
شکل 1. RTF میں کوڑا کرکٹ
خراب عناصر کی موجودگی کے باوجود، Word کامیابی کے ساتھ اس RTF فائل کو کھولتا ہے۔ جیسا کہ آپ شکل 2 میں دیکھ سکتے ہیں، یہاں آفسیٹ 0xC00 پر ایک EQNOLEFILEHDR ڈھانچہ ہے جس کے بعد MTEF ہیڈر اور پھر فونٹ کے لیے MTEF اندراج (شکل 3) ہے۔
تصویر 2. فونٹ ریکارڈ کی قدریں۔
ساخت، پیکر 3.
ممکنہ فیلڈ اوور فلو نامکیونکہ کاپی کرنے سے پہلے اس کا سائز چیک نہیں کیا جاتا ہے۔ بہت لمبا نام کمزوری کو متحرک کرتا ہے۔ جیسا کہ آپ RTF فائل کے مندرجات سے دیکھ سکتے ہیں (شکل 0 میں 26xC2 آفسیٹ)، بفر شیل کوڈ سے بھرا ہوا ہے جس کے بعد ایک ڈمی کمانڈ (0x90) اور واپسی کا پتہ 0x402114. ایڈریس میں ایک ڈائیلاگ عنصر ہے۔ EQNEDT32.exeہدایات کی طرف اشارہ کرتے ہوئے RET. اس کی وجہ سے EIP فیلڈ کے آغاز کی طرف اشارہ کرتا ہے۔ نامشیل کوڈ پر مشتمل ہے۔
شکل 4. ایکسپلائٹ شیل کوڈ کا آغاز
ایڈریس 0x45BD3C ایک متغیر کو ذخیرہ کرتا ہے جس کا حوالہ اس وقت تک نہیں ہوتا جب تک کہ یہ موجودہ بھری ہوئی ساخت تک پوائنٹر تک نہ پہنچ جائے۔ MTEFData. یہاں باقی شیل کوڈ ہے۔
شیل کوڈ کا مقصد کھلی دستاویز میں سرایت شدہ شیل کوڈ کے دوسرے ٹکڑے کو انجام دینا ہے۔ سب سے پہلے، اصل شیل کوڈ تمام سسٹم ڈسکرپٹرز (NtQuerySystemInformation ایک دلیل کے ساتھ SystemExtendedHandleInformation) اور جانچنا کہ آیا وہ مماثل ہیں۔ پی آئی ڈی وضاحت کنندہ اور پی آئی ڈی عمل WinWord اور کیا دستاویز کو ایکسیس ماسک کے ساتھ کھولا گیا تھا۔ 0x12019F.
اس بات کی تصدیق کرنے کے لیے کہ صحیح ہینڈل پایا گیا تھا (اور کسی اور کھلے دستاویز کا ہینڈل نہیں)، فائل کے مواد کو فنکشن کا استعمال کرتے ہوئے دکھایا جاتا ہے۔ CreateFileMapping، اور شیل کوڈ چیک کرتا ہے کہ آیا دستاویز کے آخری چار بائٹس مماثل ہیں "yyyy»(انڈے کے شکار کا طریقہ) ایک بار مماثلت مل جانے کے بعد، دستاویز کو ایک عارضی فولڈر میں کاپی کیا جاتا ہے (GetTempPath) کیسے ole.dll. پھر دستاویز کے آخری 12 بائٹس پڑھے جاتے ہیں۔
تصویر 5. دستاویز کے اختتامی نشانات
مارکر کے درمیان 32 بٹ قدر AABBCCDD и yyyy اگلے شیل کوڈ کا آفسیٹ ہے۔ اسے فنکشن کے ساتھ کہا جاتا ہے۔ CreateThread. وہی شیل کوڈ نکالا جو پہلے OceanLotus گروپ نے استعمال کیا تھا۔ ، جسے ہم نے مارچ 2018 میں جاری کیا تھا، اب بھی دوسرے مرحلے کے ڈمپ کے لیے چل رہا ہے۔
دوسرے مرحلے
اجزاء نکالنا
فائل اور ڈائریکٹری کے نام متحرک طور پر منتخب کیے جاتے ہیں۔ کوڈ تصادفی طور پر ایک قابل عمل یا DLL فائل کا نام منتخب کرتا ہے۔ C:Windowssystem32. اس کے بعد یہ اپنے وسائل سے درخواست کرتا ہے اور فیلڈ کو بازیافت کرتا ہے۔ FileDescription فولڈر کے نام کے طور پر استعمال کرنا۔ اگر یہ کام نہیں کرتا ہے تو، کوڈ تصادفی طور پر ڈائریکٹریز سے فولڈر کا نام منتخب کرتا ہے۔ %ProgramFiles% یا C:Windows (GetWindowsDirectoryW سے)۔ یہ ایسے نام کے استعمال سے گریز کرتا ہے جو موجودہ فائلوں سے متصادم ہو اور اس بات کو یقینی بناتا ہے کہ اس میں درج ذیل الفاظ شامل نہ ہوں۔ windows, Microsoft, desktop, system, system32 یا syswow64. اگر ڈائرکٹری پہلے سے موجود ہے تو نام کے ساتھ "NLS_{6 حروف}" جوڑ دیا جاتا ہے۔
وسائل 0x102 تجزیہ کیا گیا اور فائلیں ڈال دی گئیں۔ %ProgramFiles% یا %AppData%، بے ترتیب منتخب کردہ فولڈر میں۔ تخلیق کے وقت کو تبدیل کر کے وہی قدریں حاصل کی گئیں۔ kernel32.dll.
مثال کے طور پر، یہاں فولڈر اور فائلوں کی فہرست ہے جو قابل عمل کو منتخب کرکے بنائی گئی ہے۔ C:Windowssystem32TCPSVCS.exe ڈیٹا ماخذ کے طور پر۔
شکل 6. مختلف اجزاء کو نکالنا
وسائل کی ساخت 0x102 ایک ڈراپر میں کافی پیچیدہ ہے. مختصر طور پر، اس پر مشتمل ہے:
- فائل کے نام
- فائل کا سائز اور مواد
- کمپریشن فارمیٹ (COMPRESSION_FORMAT_LZNT1فنکشن کے ذریعہ استعمال کیا جاتا ہے۔ RtlDecompressBuffer)
پہلی فائل کو بطور ڈمپ کیا جاتا ہے۔ TCPSVCS.exe، جو جائز ہے۔ AcroTranscoder.exe (کے مطابق FileDescription, SHA-1: 2896738693A8F36CC7AD83EF1FA46F82F32BE5A3).
آپ نے دیکھا ہوگا کہ کچھ DLL فائلیں 11MB سے بڑی ہیں۔ اس کی وجہ یہ ہے کہ بے ترتیب ڈیٹا کا ایک بڑا ملحقہ بفر قابل عمل کے اندر رکھا گیا ہے۔ یہ ممکن ہے کہ یہ کچھ حفاظتی مصنوعات کے ذریعے پتہ لگانے سے بچنے کا طریقہ ہو۔
استقامت کو یقینی بنانا
وسائل 0x101 ڈراپر میں دو 32 بٹ انٹیجرز ہیں جو یہ بتاتے ہیں کہ استقامت کو کس طرح نافذ کیا جانا چاہیے۔ پہلے کی قدر بتاتی ہے کہ میلویئر منتظم کے حقوق کے بغیر کیسے برقرار رہے گا۔
ٹیبل 1. غیر منتظم استقامت کا طریقہ کار
دوسرے عدد کی قدر بتاتی ہے کہ کس طرح میلویئر کو انتظامی مراعات کے ساتھ چلتے ہوئے تسلسل کو یقینی بنانا چاہیے۔
جدول 2۔ ایڈمنسٹریٹر پرسسٹینس میکانزم
سروس کا نام توسیع کے بغیر فائل کا نام ہے۔ ڈسپلے کا نام فولڈر کا نام ہے، لیکن اگر یہ پہلے سے موجود ہے تو، سٹرنگ "Revision 1" (ایک غیر استعمال شدہ نام ملنے تک تعداد بڑھ جاتی ہے)۔ آپریٹرز نے اس بات کا خیال رکھا ہے کہ سروس کے ذریعے استقامت لچکدار ہے - ناکامی کی صورت میں، سروس کو 1 سیکنڈ کے بعد دوبارہ شروع کرنا ضروری ہے۔ پھر قدر WOW64 سروس کے لیے نئی رجسٹری کلید 4 پر سیٹ کی گئی ہے، جس سے ظاہر ہوتا ہے کہ یہ 32 بٹ سروس ہے۔
ایک طے شدہ کام کئی COM انٹرفیس کے ذریعے بنایا جاتا ہے: ITaskScheduler, ITask, ITaskTrigger, IPersistFile и ITaskScheduler. بنیادی طور پر، میلویئر ایک پوشیدہ کام تخلیق کرتا ہے، موجودہ صارف یا منتظم کی معلومات کے ساتھ اکاؤنٹ کی معلومات سیٹ کرتا ہے، اور پھر ٹرگر سیٹ کرتا ہے۔
یہ روزانہ کا کام ہے جس کا دورانیہ 24 گھنٹے ہے اور 10 منٹ کے دو رنز کے درمیان وقفہ ہے، جس کا مطلب ہے کہ یہ مسلسل چلے گا۔
بدنیتی پر مبنی بٹ
ہماری مثال میں، قابل عمل TCPSVCS.exe (AcroTranscoder.exe) ایک جائز سافٹ ویئر ہے جو اس کے ساتھ چھوڑے گئے DLLs کو لوڈ کرتا ہے۔ اس صورت میں، یہ دلچسپی ہے Flash Video Extension.dll.
اس کا فنکشن DLLMain صرف ایک اور فنکشن کو کال کرتا ہے۔ کچھ مبہم پیش گوئیاں ہیں:
تصویر 7. فجی پیشین گوئیاں
ان گمراہ کن چیکوں کے بعد، کوڈ کو ایک سیکشن ملتا ہے۔ .text فائل TCPSVCS.exe، اس کے تحفظ کو میں تبدیل کرتا ہے۔ PAGE_EXECUTE_READWRITE اور اسے ڈمی ہدایات کے ساتھ اوور رائٹ کرتا ہے:
تصویر 8. ہدایات کی ترتیب
فنکشن کے ایڈریس کے آخر میں FLVCore::Uninitialize(void)، برآمد کیا گیا۔ Flash Video Extension.dll، ہدایت شامل کی گئی ہے۔ CALL. اس کا مطلب ہے کہ بدنیتی پر مبنی DLL لوڈ ہونے کے بعد، جب رن ٹائم کال کرتا ہے۔ WinMain в TCPSVCS.exe، انسٹرکشن پوائنٹر NOP کی طرف اشارہ کرے گا، جس کے نتیجے میں کالنگ ہوگی۔ FLVCore::Uninitialize(void)، اگلے مرحلے.
فنکشن آسانی سے شروع ہونے والا ایک mutex بناتا ہے۔ {181C8480-A975-411C-AB0A-630DB8B0A221}موجودہ صارف نام کے بعد۔ پھر یہ ڈمپ کی گئی *.db3 فائل کو پڑھتا ہے، جس میں پوزیشن سے آزاد کوڈ ہوتا ہے، اور استعمال ہوتا ہے۔ CreateThread مواد کو انجام دینے کے لئے.
*.db3 فائل کا مواد شیل کوڈ ہے جسے OceanLotus ٹیم عام طور پر استعمال کرتی ہے۔ ہم نے اپنے شائع کردہ ایمولیٹر اسکرپٹ کا استعمال کرتے ہوئے اس کے پے لوڈ کو دوبارہ کامیابی سے ڈیکمپریس کیا۔ .
اسکرپٹ آخری مرحلے کو بازیافت کرتا ہے۔ یہ جزو ایک بیک ڈور ہے جس کا ہم پہلے ہی تجزیہ کر چکے ہیں۔ . اس کا تعین GUID کے ذریعے کیا جا سکتا ہے۔ {A96B020F-0000-466F-A96D-A91BBF8EAC96} بائنری فائل. میلویئر کنفیگریشن اب بھی PE ریسورس میں انکرپٹڈ ہے۔ اس کی ترتیب تقریباً ایک جیسی ہے، لیکن C&C سرورز پچھلے سرورز سے مختلف ہیں:
- andreagahuvrauvin[.]com
- byronorenstein[.]com
- stienollmache[.]xyz
OceanLotus گروپ دوبارہ پتہ لگانے سے بچنے کے لیے مختلف تکنیکوں کے امتزاج کا مظاہرہ کرتا ہے۔ وہ انفیکشن کے عمل کی "ختم" اسکیم کے ساتھ واپس آئے۔ بے ترتیب ناموں کا انتخاب کرکے اور بے ترتیب ڈیٹا سے ایگزیکیوٹیبل کو بھر کر، وہ قابل اعتماد IoCs کی تعداد کو کم کرتے ہیں (ہیشز اور فائل ناموں پر مبنی)۔ مزید یہ کہ، تھرڈ پارٹی ڈی ایل ایل لوڈنگ کا استعمال کرتے ہوئے، حملہ آوروں کو صرف جائز بائنری کو ہٹانے کی ضرورت ہے۔ AcroTranscoder.
خود نکالنے والے آرکائیوز
RTF فائلوں کے بعد، گروپ نے صارف کو مزید الجھانے کے لیے عام دستاویز کے آئیکنز کے ساتھ سیلف ایکسٹریکٹنگ (SFX) آرکائیوز میں تبدیل کر دیا۔ تھریٹ بک نے اس کے بارے میں لکھا ()۔ شروع ہونے پر، خود سے نکالنے والی RAR فائلوں کو پھینک دیا جاتا ہے اور .ocx ایکسٹینشن کے ساتھ DLLs کو عمل میں لایا جاتا ہے، جس کا حتمی پے لوڈ پہلے دستاویز کیا گیا تھا۔ {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll. جنوری 2019 کے وسط سے، OceanLotus اس تکنیک کو دوبارہ استعمال کر رہا ہے، لیکن وقت کے ساتھ ساتھ کچھ کنفیگریشنز کو تبدیل کر رہا ہے۔ اس حصے میں، ہم تکنیک اور تبدیلیوں کے بارے میں بات کریں گے۔
لالچ پیدا کرنا
دستاویز THICH-THONG-LAC-HANH-THAP-THIEN-VIET-NAM (1).EXE (sha-1: AC10F5B1D5ECAB22B7B418D6E98FA18E32BBDEAB) پہلی بار 2018 میں پایا گیا تھا۔ یہ SFX فائل ذہن کے ساتھ بنائی گئی تھی - تفصیل میں (ورژن کی معلومات) کا کہنا ہے کہ یہ ایک JPEG تصویر ہے۔ SFX اسکرپٹ اس طرح دکھتا ہے:
شکل 9. SFX کمانڈز
میلویئر ری سیٹ ہو جاتا ہے۔ {9ec60ada-a200-4159-b310-8071892ed0c3}.ocx (sha-1: EFAC23B0E6395B1178BCF7086F72344B24C04DCC) کے ساتھ ساتھ ایک تصویر 2018 thich thong lac.jpg.
ڈیکوی امیج اس طرح دکھتی ہے:
تصویر 10۔ ڈیکو امیج
آپ نے دیکھا ہوگا کہ SFX اسکرپٹ میں پہلی دو لائنیں OCX فائل کو دو بار کال کرتی ہیں، لیکن یہ کوئی غلطی نہیں ہے۔
{9ec60ada-a200-4159-b310-8071892ed0c3}.ocx (ShLd.dll)
OCX فائل کا کنٹرول فلو دیگر OceanLotus اجزاء سے بہت ملتا جلتا ہے - بہت سے کمانڈ کی ترتیب JZ/JNZ и PUSH/RETردی کوڈ کے ساتھ جڑا ہوا
شکل 11۔ مبہم کوڈ
ردی کی ٹوکری کے کوڈ کو فلٹر کرنے کے بعد، برآمد DllRegisterServer، بلایا regsvr32.exe، مندرجہ ذیل کے طور پر:
شکل 12۔ مین انسٹالر کوڈ
بنیادی طور پر، پہلی بار جب آپ کال کرتے ہیں۔ DllRegisterServer ایکسپورٹ رجسٹری ویلیو سیٹ کرتا ہے۔ HKCUSOFTWAREClassesCLSID{E08A0F4B-1F65-4D4D-9A09-BD4625B9C5A1}Model ڈی ایل ایل میں انکرپٹڈ آفسیٹ کے لیے (0x10001DE0).
جب فنکشن کو دوسری بار بلایا جاتا ہے، تو یہ وہی قدر پڑھتا ہے اور اس ایڈریس پر عمل کرتا ہے۔ یہاں سے، وسائل کو پڑھا اور عمل میں لایا جاتا ہے، اور بہت سے اعمال RAM میں کیے جاتے ہیں۔
شیل کوڈ وہی PE لوڈر ہے جو گزشتہ OceanLotus مہموں میں استعمال کیا گیا تھا۔ اس کے ساتھ تقلید کی جا سکتی ہے۔ . آخر میں، وہ گرتا ہے db293b825dcc419ba7dc2c49fa2757ee.dll، اسے میموری میں لوڈ کرتا ہے اور اس پر عمل درآمد کرتا ہے۔ DllEntry.
DLL اپنے وسائل کے مواد کو نکالتا ہے، ڈیکرپٹ (AES-256-CBC) کرتا ہے اور اسے ڈیکمپریس کرتا ہے (LZMA)۔ وسیلہ کا ایک مخصوص فارمیٹ ہوتا ہے جسے ڈی کمپائل کرنا آسان ہوتا ہے۔
تصویر 13. انسٹالر کنفیگریشن ڈھانچہ (KaitaiStruct Visualizer)
کنفیگریشن واضح طور پر سیٹ کی گئی ہے - استحقاق کی سطح پر منحصر ہے، بائنری ڈیٹا کو لکھا جائے گا %appdata%IntellogsBackgroundUploadTask.cpl یا %windir%System32BackgroundUploadTask.cpl (یا SysWOW64 64 بٹ سسٹمز کے لیے)۔
مزید استقامت کا نام ایک ٹاسک بنا کر یقینی بنایا جاتا ہے۔ BackgroundUploadTask[junk].jobجہاں [junk] بائٹس کا ایک سیٹ ہے۔ 0x9D и 0xA0.
ٹاسک درخواست کا نام %windir%System32control.exe، اور پیرامیٹر کی قدر ڈاؤن لوڈ کی گئی بائنری فائل کا راستہ ہے۔ چھپا ہوا کام ہر روز چلتا ہے۔
ساختی طور پر، ایک CPL فائل اندرونی نام کے ساتھ ایک DLL ہے۔ ac8e06de0a6c4483af9837d96504127e.dll، جو فنکشن کو برآمد کرتا ہے۔ CPlApplet. یہ فائل اپنے واحد وسیلہ کو ڈکرپٹ کرتی ہے۔ {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll، پھر اس DLL کو لوڈ کرتا ہے اور اس کی واحد برآمد کو کال کرتا ہے۔ DllEntry.
بیک ڈور کنفیگریشن فائل
بیک ڈور کنفیگریشن کو اس کے وسائل میں انکرپٹ اور ایمبیڈ کیا گیا ہے۔ کنفیگریشن فائل کی ساخت پچھلی فائل سے بہت ملتی جلتی ہے۔
تصویر 14. بیک ڈور کنفیگریشن ڈھانچہ (KaitaiStruct Visualizer)
اسی طرح کے ڈھانچے کے باوجود، میں دکھائے گئے ڈیٹا کے مقابلے بہت سے فیلڈز کی قدروں کو اپ ڈیٹ کیا گیا ہے۔ .
بائنری سرنی کا پہلا عنصر DLL پر مشتمل ہے (HttpProv.dll MD5: 2559738D1BD4A999126F900C7357B759), . لیکن چونکہ برآمد کا نام بائنری سے ہٹا دیا گیا ہے، اس لیے ہیشز مماثل نہیں ہیں۔
اضافی تحقیق
نمونے جمع کرتے ہوئے، ہم نے کچھ خصوصیات پر توجہ دی۔ ابھی بیان کردہ نمونہ جولائی 2018 کے آس پاس نمودار ہوا، اور اس جیسے دوسرے حال ہی میں، جنوری کے وسط میں - فروری 2019 کے اوائل میں ظاہر ہوئے۔ ایک SFX آرکائیو کو ایک انفیکشن ویکٹر کے طور پر استعمال کیا گیا، جس سے ایک جائز ڈیکوی دستاویز اور ایک بدنیتی پر مبنی OCX فائل کو گرا دیا گیا۔
اگرچہ OceanLotus جعلی ٹائم سٹیمپ استعمال کرتا ہے، ہم نے دیکھا کہ SFX اور OCX فائلوں کے ٹائم سٹیمپ ہمیشہ ایک جیسے ہوتے ہیں (0x57B0C36A (08/14/2016 @ 7:15pm UTC) اور 0x498BE80F (02/06/2009 @ 7:34am UTC) بالترتیب)۔ یہ شاید اس بات کی نشاندہی کرتا ہے کہ مصنفین کے پاس کچھ قسم کا "کنسٹرکٹر" ہے جو ایک ہی ٹیمپلیٹس کا استعمال کرتا ہے اور صرف کچھ خصوصیات کو تبدیل کرتا ہے۔
2018 کے آغاز سے لے کر اب تک ہم نے جن دستاویزات کا مطالعہ کیا ہے، ان میں مختلف نام ہیں جو حملہ کرنے والے دلچسپی رکھنے والے ممالک کی نشاندہی کرتے ہیں:
- کمبوڈیا میڈیا (New.xls.exe) کی نئی رابطے کی معلومات
- 李建香 (个人简历) exe (CV کی جعلی pdf دستاویز)
- تاثرات، 28 سے 29 جولائی 2018 تک USA میں ریلی.exe
بیک ڈور کی دریافت کے بعد سے {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll اور کئی محققین کے ذریعہ اس کے تجزیے کی اشاعت، ہم نے میلویئر کنفیگریشن ڈیٹا میں کچھ تبدیلیوں کا مشاہدہ کیا۔
سب سے پہلے، مصنفین نے مددگار DLL DLLs سے نام ہٹانا شروع کیے (DNSprov.dll اور دو ورژن HttpProv.dll)۔ پھر آپریٹرز نے تیسرے DLL (دوسرا ورژن HttpProv.dllصرف ایک ایمبیڈ کرنے کا انتخاب کرنا۔
دوم، بہت سے بیک ڈور کنفیگریشن فیلڈز کو تبدیل کر دیا گیا ہے، شاید پتہ لگانے سے بچنے کے لیے کیونکہ بہت سے IoC دستیاب ہو چکے ہیں۔ مصنفین کے ذریعہ نظر ثانی شدہ اہم شعبوں میں درج ذیل ہیں:
- تبدیل شدہ رجسٹری کلید AppX (دیکھیں IoCs)
- mutex انکوڈنگ سٹرنگ ("def"، "abc"، "ghi")
- پورٹ نمبر
آخر میں، تجزیہ کیے گئے تمام نئے ورژنز میں نئے C&Cs IoCs سیکشن میں درج ہیں۔
نتائج
OceanLotus کا ارتقاء جاری ہے۔ سائبر گروپ ٹولز اور لالچ کو بہتر بنانے اور پھیلانے پر مرکوز ہے۔ مصنفین نقصان دہ پے لوڈز کو توجہ دلانے والی دستاویزات کے ساتھ چھپاتے ہیں جو مطلوبہ متاثرین سے متعلق ہیں۔ وہ نئے سرکٹس تیار کرتے ہیں اور عوامی طور پر دستیاب ٹولز بھی استعمال کرتے ہیں جیسے کہ مساوات ایڈیٹر ایکسپلائٹ۔ مزید برآں، وہ متاثرین کی مشینوں پر رہ جانے والے نمونوں کی تعداد کو کم کرنے کے لیے ٹولز کو بہتر بنا رہے ہیں، اس طرح اینٹی وائرس سافٹ ویئر کے ذریعے پتہ چلنے کے امکانات کو کم کر رہے ہیں۔
سمجھوتے کے اشارے۔
سمجھوتہ کے اشارے کے ساتھ ساتھ MITER ATT&CK اوصاف دستیاب ہیں۔ и .
ماخذ: www.habr.com