KerrDown
KerrDown est une nouvelle famille de téléchargeurs de logiciels malveillants créés et utilisés par le groupe de hackers OceanLotus. Plusieurs campagnes d'attaque ont été liées aux activités d' OceanLotus. Leurs objectifs ont souvent été à l'échelle mondiale, mais la plupart des opérations du groupe semblent se concentrer sur la région APAC. Les victimes proviennent d'un large éventail d'industries, de gouvernements étrangers, d'agences diplomatiques et d'entités liées au Vietnam. En fait, la dernière campagne impliquant le téléchargeur KerrDown a ciblé des entités vietnamiennes ou vietnamiennes.
Deux principaux vecteurs d'attaque ont été identifiés: via des e-mails de phishing contenant des documents Word militarisés ou en fournissant des archives RAR contenant de véritables applications avec chargement latéral de DLL.
Lorsque la victime exécute le document Word, un message en vietnamien lui demande d'activer les macros. La macro vérifie le système compromis et détermine lequel des deux fichiers .dll à déployer dessus selon qu'il a une architecture 32 bits ou 64 bits. La DLL choisie est ensuite déposée dans un emplacement prédéterminé dans «Users \ Administrator \ AppData \ Roaming \» sous la forme d'un fichier nommé «main_background.png».
La première étape effectuée par le déployé par KerrDown est de récupérer la charge utile principale du malware, de la déchiffrer à l'aide de l'algorithme DES, puis de l'exécuter immédiatement en mémoire. Cette technique minimise l'empreinte des menaces de logiciels malveillants car seul KerrDown est enregistré sur le système compromis.
La charge utile fournie par KerrDown est une variante d'une souche populaire de malware appelée Cobalt Strike Beacon. OceanLotus a déployé Cobalt Strike dans plusieurs de ses campagnes précédentes.
En ce qui concerne les variantes de KerrDown propagées via les archives RAR, l'objectif final est le même: la livraison de Cobalt Strike Beacon, mais les étapes pour y parvenir diffèrent considérablement. Premièrement, les fichiers RAR ont des noms en vietnamien qui signifient «lettre de plainte» et contiennent un document Microsoft Word d'une ancienne version de Word. Le document lui-même porte également un nom vietnamien qui, une fois traduit, signifie «En savoir plus sur l'utilisation de votre entreprise». Les fichiers corrompus de KerrDown sont supprimés via une technique de chargement latéral DLL. La DLL continue ensuite à suivre une chaîne en plusieurs étapes de commandes shellcode, chaque étape utilisant diverses techniques pour masquer l'étape suivante. La DLL intégrée Cobalt Strike Beacon est enfin chargée en mémoire et exécutée par le quatrième shellcode de la séquence.