Logiciel malveillant Sepulcher

Sepulcher Malware est le nom donné à une nouvelle famille de logiciels malveillants qui a été observée comme étant une charge utile dans deux campagnes d'attaque distinctes. La première campagne a utilisé des leurres liés au COVID-19 pour inciter les gens à ouvrir une pièce jointe à un e-mail contenant des logiciels malveillants et visait diverses entités européennes allant des organisations de recherche politique à but non lucratif aux institutions diplomatiques et législatives, ainsi qu'aux organisations mondiales traitant des affaires économiques. . La deuxième campagne de phishing portant Sepulchre visait des dissidents tibétains. Malgré la nature radicalement différente des deux groupes cibles, les chercheurs ont découvert des connexions existantes entre les deux, telles que les comptes de messagerie d'opérateurs qui ont été utilisés précédemment par les groupes chinois ATP (Advanced Persistent Threat). En fait, il existe des preuves cohérentes que le coupable des deux campagnes d'attaque est un groupe de hackers chinois appelé TA413.

Le malware Sepulcher est distribué via des e-mails de phishing

Lors de l'attaque contre les organisations européennes, TA413 a décidé de profiter de la confusion et de l'incertitude entourant la pandémie de COVID-19 et a conçu les courriels corrompus pour imiter les actions critiques de préparation, de préparation et de réponse critiques de l'OMS (Organisation mondiale de la santé) pour le COVID-19, Document d'orientation provisoire. Les e-mails de phishing contenaient un fichier RTF corrompu qui, lorsqu'il était exécuté, exploitait une vulnérabilité de Microsoft Equation Editor pour installer un objet RTF sous le couvert d'un méta-fichier Windows (WMF) dans un répertoire prédéterminé situé à % \ AppData \ Local \ Temp \ wd4sx .wmf . L'exécution du fichier WMF entraîne la livraison de la charge utile Sepulcher à la machine infectée.

Dans l'attaque par hameçonnage contre les entités liées au Tibet, ATP413 a utilisé un PowerPoint compromis (PPXS) nommé «LES TIBÉTAINS ATTENDUS PAR UN VIRUS MORTEL QUI PORTE UNE ARME ET PARLE CHINOIS.ppsx». Une fois exécuté, le fichier ppsx initie une connexion à l'adresse IP IP 118.99.13.4 et télécharge la charge utile du malware Sepulcher nommée «file.dll». Une fois enregistré sur le système compromis, le fichier de données utiles est renommé «credential.dll».

Le malware Sepulcher est un puissant RAT  

Bien que le malware Sepulcher n'utilise peut-être pas une technologie inédite, il s'agit toujours d'un cheval de Troie d'accès à distance (RAT) menaçant, équipé de nombreuses fonctions de collecte de données et de manipulation du système. Lorsque la pièce jointe corrompue est exécutée, elle supprime un fichier nommé «wd4sx.wmf» qui contient la charge utile Sepulcher Malware et un dropper de charge utile. Le compte-gouttes prend la forme d'un fichier temporaire nommé «OSEB979.tmp» et son rôle est de livrer le malware Sepulcher en tant que «credential.dll» dans le répertoire % AppData% \ Roaming \ Identities \ Credential.dll . Le logiciel malveillant obtient la persistance en utilisant rundlll32.exe et en exploitant la fonction d'exportation 'GetObjectCount' via la commande:

schtasks / create / tr "rundll32.exe% APPDATA% \ Identities \ Credential.dll, GetObjectCount" / tn "lemp" / sc HOURLY

Le Sepulcher Malware se connecte à l'adresse IP 107.151.194.197 via trois ports différents - 80, 443 et 8080. Lors de la réception de commandes spécifiques, le Sepulcher Malware peut commencer à collecter des données à partir du système infecté, créer un shell de commande inversé, ainsi que manipuler fichiers et répertoires. Parmi les informations recueillies par Sepulcher Malware figurent des détails sur les lecteurs connectés au périphérique compromis, les chemins de répertoire, les processus en cours d'exécution, les services et les informations sur les fichiers.