KilllSomeOne Malware

Par Mezo en Malware

Se traduisent par :

Un groupe d'attaques ciblées contre des organisations non gouvernementales et d'autres basées au Myanmar a été détecté par des chercheurs de logiciels malveillants. Bien qu'ils n'aient pas été en mesure de déterminer l'identité exacte de l'acteur menaçant responsable des attaques, suffisamment de preuves ont été découvertes pour suggérer l'implication d'un groupe APT chinois.

Quatre scénarios différents ont jusqu'à présent été enregistrés dans le cadre des opérations nuisibles. Tous impliquent des techniques de chargement côté DLL et font référence à un chemin PDB similaire, ainsi qu'à un dossier nommé KillSomeOne. Le code et la sophistication entre les différentes attaques montrent un grand degré de divergence. Certains incorporent des implémentations simples dans le codage tout en contenant des messages presque amateurs cachés dans leurs échantillons. Cependant, dans le même temps, la nature très ciblée de l'opération et le déploiement des charges utiles du malware présentent les caractéristiques d'un groupe APT (Advanced Persistent Threat) sérieux.

Les charges utiles à chargement latéral et menaçantes de la DLL

L'utilisation du chargement latéral DLL n'est pas rare. Après tout, la technique existe depuis au moins 2013. Elle implique l'utilisation d'un fichier DLL corrompu qui usurpe un fichier légitime. En conséquence, les processus et exécutables Windows légitimes sont exploités pour charger et exécuter le code corrompu abandonné par l'acteur de la menace.

Dans deux des quatre vagues d'attaque observées, la charge utile a été stockée dans un fichier nommé Groza_1.dat. C'est un shellcode de chargeur PE qui est chargé de décrypter la charge utile finale, de la charger en mémoire, puis de l'exécuter. Cette charge utile finale consiste en un fichier DLL contenant un simple shell de commande distant capable de se connecter à un serveur avec l'adresse IP 160.20.147.254 sur le port 9999.

Les deux autres scénarios de chargement latéral de la DLL KillSomeOne étaient beaucoup plus sophistiqués. Au lieu d'un simple shell, ils impliquaient un installateur complexe capable d'établir un mécanisme de persistance et de préparer l'environnement pour la livraison de la charge utile finale. Bien que les fichiers de charge utile soient différents - adobe.dat et x32bridge.dat, ils ont fourni des exécutables presque identiques qui avaient également le même bain PDB.

Rechercher

Changer de région

KilllSomeOne Malware

Soumettre un Commentaire

Tendance

Safe Search Eng

MarioLocker Ransomware

MonWallPaper

Le plus regardé

Est-ce que Lookmovie.io est sûr ?

Comment corriger l'erreur « Le pilote d'imprimante...

Discord affiche un écran noir lors du partage d'écran