บทความนี้จักอธิบายก่อนแหวกลุ่ม OceanLotus (หรือแห่งหนรู้จักกันแห่งชื่อ APT32 และ APT-C-00) ชดใช้ช่องโหว่ช่องโหว่หน่วยความจำเสียหายใน CVT-2017-11882 แปลนสาธารณะหรือไม่ซอฟต์แวร์กับวิธีการที่มัลแวร์ OceanLotus ประสบผลในการหลงเหลืออยู่ของระบบที่ถูกบุกรุกเพราะไม่ทิ้งร่องรอยไร ๆจากนั้นบทความอธิบายว่าตั้งแต่ต้นปี 2562 หมู่ได้ใช้ประโยชน์จากคลังข้อมูลที่ขยายตัวเองเพื่อที่จะเรียกใช้รหัส

บริบท

กำลังติดตาม OceanLotus19;กิจกรรมถือเอาว่าการทัวร์ในโลกแห่งการลวงลวงกลุ่มนี้เป็นที่รู้จักกันดีแห่งการล่อเหยื่อโดยการปลอมแปลงเอกสารแห่งหนน่าดึงดูดเพื่อจะล่อลวงผู้ที่อาจเป็นเหยื่อแห่งการดำเนินการลับๆของกลุ่มสถานที่ 19 และสร้างไอเดียใหม่ ๆ เพื่อกระจายคณะเครื่องมือของร่างกายเทคนิคที่ใช้คืนในการล่อนั้นมีตั้งแต่ไฟล์สถานที่เรียกว่า double extensions, งานแตกไฟล์ที่ตัวและแฟ้มข้อมูลที่เปิดใช้งานลงมาโครไปจวบจนถึงการใช้ช่องโหว่ที่รู้จักกันใหม่ยิ่งไปกว่านั้นพวกเขากระตือรือร้นมากและยังคงบุกเข้าไปโจมตีเหยื่อผู้เคราะห์ร้ายที่พวกเขาชื่นชอบซึ่งดำรงฐานะประเทศในเอเชียตะวันออกเฉียงใต้

รวมความการใช้ประโยชน์จากเครื่องมือแก้สมการ

ในกลางปี ??2018OceanLotus ดำเนินการรณรงค์โดยใช้คืนเอกสารที่ละเมิดจุดอ่อนที่ประเจิดประเจ้อโดย CVE-2017-11882อันที่จริงประกอบด้วยการพิสูจน์ถึงแนวคิดหลายประการช่องโหว่นี้อยู่ในชิ้นส่วนที่รับผิดชอบในการสร้างและเยียวยาสมการทางคณิตศาสตร์เอ็ดในเอกสารแห่งเป็นอันตรายที่ใช้โดย OceanLotus ถูกพินิจพิจารณาโดย 360 Threat Intelligence Center (ภาษาจีน) และประกอบด้วยรายละเอียดเกี่ยวกับการหาประโยชน์ลองดูแห่งเอกสารที่ละม้ายกัน

ขั้นตอนจำเดิม

เอกสารตรงนี้ FW รายงานการสาธิตสิ่งของอดีต CNRP แห่งสาธารณรัฐเกาหลีมันสมองdoc ( SHA-1: D1357B284C951470066AAA7A8228190B88A5C7C3 ) มีลักษณะคล้ายกับ CNRP ในสาธารณรัฐประเทศเกาหลีหนึ่งแห่งหนกล่าวถึงในบทความข้างต้นกับน่าสนใจเพราะมันครอบครองเป้าหมายสรรพสิ่งผู้คนแห่งหนสนใจการเมืองกัมพูชา (CNRP 13; พวกกู้ภัยแห่งชาติกัมพูชา 13; พรรคการเมืองถูกยวบๆในสิ้นปี 2560)แม้จักมีชื่อสกุล. doc งานพิมพ์จริง ๆ ต่อจากนั้นในรูปแบบ RTF (ดูตัวที่ 1) ประกอบด้วยกลุ่มเศษจำนวนมากและยังมีรูปแบบแห่งหนไม่ตรงเผง

รูปที่ 1 14; ช่องดองขยะ RTF

ขนาดที่จะมีองค์ประกอบสถานที่มีรูปแบบไม่ตรงเผง Word ก็สามารถรั้งขึ้นไฟล์ RTF ตรงนี้ได้บังเกิดผลตามที่เห็นในร่างกายที่ 2 ร่างกายที่ offset 0xC00 มี EQNOLEFILEHDRโครงสร้างตามด้วยส่วนหัว MTEF และหลังจากนั้นบันทึก MTEF (ตนที่ 3) เนื่องด้วยแบบตัวอักษร

รูปแห่ง 2 14;ค่าทะเบียน FONT

การเอ่อล้นในฟิตัดทอน์ ชื่อ เป็นไปได้เนื่องจากขนาดของเลี่ยนคือ 19 ไม่ไหวตรวจสอบก่อนที่จะคัดลอกชื่อที่แถวเกินไปจักทำให้เกิดช่องโหว่ดังที่มองเห็นในแก่นสารไฟล์ RTF (ชดเชย 0xC26 ในตนที่ 2) บัฟเฟอร์เต็มไปด้วย shellcode ติดตามด้วยการเลื่อน NOP (0x90) กับที่อยู่ผู้ส่ง 0x402114 ที่อยู่นั้นเป็นอุปกรณ์ณ EQNEDT32.exe ชี้เจียรที่คำประกาศิต RET ผลลัพธ์นี้ใน EIP ชี้ให้เห็นไปแห่งจุดเริ่มต้นสรรพสิ่งฟิลด์ ชื่อ ซึ่งมีเชลล์โค้ด

รูปแห่งหน 4 14; เริ่มงานของ shellcode

ที่อยู่ 0x45BD3C จัดเก็บตัวแปรที่ถูกยกเลิกการอ้างอิงจนกว่าจักถึงตัวแสดงไปยังแบบสร้าง MTEFData ที่โหลดอยู่ที่ปัจจุบันนั่นถือเอาว่าที่ที่กาบหอยส่วนที่เหลืออยู่

วัตถุประสงค์ของ shellcode คืองานดำเนินการ shellcode ชิ้นที่สองซึ่งฝังอยู่ในเอกสารที่รั้งขึ้นอยู่ก่อนอื่น shellcode เริ่มต้นพากเพียรค้นหาหมายเลขคำอธิบายเพิ่มเติมของไฟล์เอกสารที่เปิดอยู่โดยวนย้ำการจัดการทั้งสิ้นของ system19 (s NtQuerySystemInformation ด้วยอาร์กิวเมนต์ SystemExtendedHandleInformation ) ด้วยกันตรวจสอบว่า handle19; s PID ตรงๆกับ PID ของกรรมวิธี WinWord และหากสิ่งพิมพ์ถูกเปิดพร้อมด้วยมาสก์การเข้าถึงต่อไปนี้: 0x12019F มันสมองเพื่อยืนยันดุพบหมายเลขเชิงอรรถที่ถูกต้องไม่ใช่เช่นนั้นหมายเลขอ้างอิงสิ่งของเอกสารเปิดอื่นเนื้อหาของไฟล์จักถูกแมปด้วยฟังก์ชัน CreateFileMapping ด้วยกัน shellcode ตรวจสอบว่าสี่ไบต์สุดท้ายของงานพิมพ์เป็น 1C หรือไม่span> ปปปป 1C ;;กลเม็ดนี้เรียกว่า 1C; Egg Hunting1D;เมื่อพบการจับคู่เอกสารจักถูกคัดลอกจากไปยังโฟลเดอร์ชั่วคราว ( GetTempPath ) ดำรงฐานะ ole.dll จากนั้น 12 ไบต์สุดท้ายของเอกสารจะถูกอ่าน

รูปสถานที่ 5 14 เครื่องหมายที่ชายเอกสาร

ค่า 32- บิตระหว่าง AABBCCDD และ yyyy เครื่องหมายได้ผลชดเชยให้กับดัก shellcode ถัดไปมันถูกเรียกใช้เพราะว่าใช้ CreateThread ฟังก์ชั่น shellcode ที่แตกออกมานั้นเป็นแบบเดียวกับแห่งหนกลุ่ม OceanLotus ใช้มาระยะหนึ่งหลังจากนั้นสคริปต์ Python emulator ที่เราเปิดฉากในเดือนเดือนมีนาคม 2018 ยังคงทำงานเพื่อมละขั้นตอนต่อไป

ขั้นตอนลำดับที่สอง

การแยกร่างประกอบ

ชื่อไฟล์และไดเรกถักรีจักถูกเลือกแบบไดที่นามิแขนหัสสุ่มตัวอย่างเลือกชื่อเสียงเรียงนามไฟล์ของไฟล์เรียกหาทำงานไม่ก็ไฟล์ DLL ถิ่นที่อยู่ใน C: Windows system32 ต่อจากนั้นจะทำการสืบค้นทรัพยากรด้วยกันแยกฟิลด์ FileDescription เพื่อใช้เป็นชื่อโฟลเดอร์หากกรรมวิธีนี้ใช้ไม่ได้เครื่องหมายจะสุ่มตัวอย่างเลือกชื่อโฟลเดอร์จากไดเรกทอเรียว % ProgramFiles% หรือ C: Windows (ขนมจาก GetWindowsDirectoryW)มันหลบมุมการใช้คืนชื่อที่อาจขัดแย้งกับไฟล์ที่มีอยู่โดยทำให้แน่ใจว่าพ้นไป: windows, Microsoft, เดสก์ท็อป, ระบบ, system32 หรือ syswow64 หากไดเรกทอรีมีสิงสู่แล้วชื่อเสียงเรียงนามไดเรกถักรีจะถูกห้อยท้ายด้วย 1C; NLS_ 6 หลัก 1D ;.

ทรัพยากรที่ระยะที่ 19 ของ s 0x102 จะถูกจำแนกวิเคราะห์ด้วยกันไฟล์จักถูกละใน % ProgramFiles% หรือว่า % AppData% ในโฟลเดอร์แห่งเลือกแปลนสุ่มยุคในงานสร้างจักเปลี่ยนเป็นค่าเดียวกันกับ kernel32.dll

ต้นแบบนี่คือโฟลเดอร์กับรายการแฟ้มที่สร้างโดยการเลือก C: Windows system32 TCPSVCSมันสมองexe ปฏิบัติการดำรงฐานะแหล่งข้อมูล

รูปแห่งหน 6 14;ส่วนประกอบแห่งหนแตกต่างห้าม

โครงสร้างสิ่งของทรัพยากร 0x102 ในหยาดน้ำมีเหตุซับซ้อนค่อนข้างโดยย่อมี:

|
• ชื่อแฟ้ม
|
• ไฟล์ 19; สัดส่วนและแก่นสาร
|
• รูปแบบการบีบทับ ( COMPRESSION_FORMAT_LZNT1 ใช้เพราะว่า ฟังก์ชั่น RtlDecompressBuffer )
|

ไฟล์เริ่มแรกจะขัดถูกดคอยปเป็น TCPSVCSมันสมองexe ซึ่งจริงๆแล้วคือ Adobe19; AcroTranscoder.exe ที่ถูกกฎหมาย (ตาม FileDescription ของ SHA-1: 2896738693A8F36CC7AD83EF1FA46F82F32BE5A3 ของเจ้าเอ็งสังเกตว่าขนาดแฟ้มของ DLLs โปร่งแสงอันเกิน 11MBนี่ครอบครองเพราะบัฟเฟอร์ขนาดใหญ่แห่งหนต่อเนื่องกักคุมของข่าวแบบสุ่มตัวอย่างถูกแหมะไว้ภายในไฟล์เรียกหาทำงานอาจเป็นกรรมวิธีที่จะหลีกเลี่ยงการตรวจจับโดยผลิตภัณฑ์ความปลอดภัยบางร่างกาย

บรรลุการคงอยู่

ทรัพยากร 0x101 สิ่งของหยดประกอบด้วยจำนวนเต็ม 32 เลขฐานสองสองร่างกายที่จำกัดว่าน่าดำเนินการรักษาอย่างไรคุณค่าของมนุชแรกระบุว่ามัลแวร์จักประสบความสำเร็จเพราะว่าไม่ต้องมีสิทธิ์ผู้ดูแลระบบ

ค่าสิ่งของจำนวนเต็มตัวที่สองระบุว่ามัลแวร์ควรพยายามที่จะตกค้างอย่างไรถ้าหากมันลงมือด้วยสิทธิ์ระดับสูง

ชื่อบริการคือชื่อเสียงเรียงนามไฟล์แห่งหนพ้นไปชื่อสกุลชื่อแห่งจัดโชว์ครอบครองชื่อโฟลเดอร์ แต่ว่าสมมติว่าประกอบด้วยอยู่จากนั้นสตริง 1C; หนุ่มสถานที่ 1 1D;ถูกพ่วง (หมายเลขจักเพิ่มขึ้นจนกว่าจักพบชื่อแห่งหนไม่ไหวชดใช้)ผู้ดำเนินการทำเอาแน่ใจบริหารตกค้างผ่านบริการจะลดหย่อน: เมื่อบริการพังทลายบริการควรเริ่มต้นใหม่หลังจาก 1 วินาทีจากนั้นคุณค่ารีจิสทรี WOW64 สิ่งของคีย์บริการใหม่ไม่ผิดตั้งค่าเป็น 4 ซึ่งเจาะจงแหว it19; sa บริการ 32 บิต

การทำงานแห่งหนกำหนดสมัยวางจักถูกสร้างขึ้นไปผ่านส่วนต่อประสาน COM เหลือแหล่ตัว: ITaskScheduler , ITask , ITaskTrigger , IPersistFile ด้วยกัน ITaskScheduler เพราะว่าพื้นฐานต่อจากนั้นมัลแวร์จะสร้างกิจการที่ซ่อนอยู่ตั้งค่าข่าวบัญชีพร้อมด้วยลูกค้าช่วงปัจจุบันหรือไม่ก็ข้อมูลเจ้าสำนักระเบียบและจัดตั้งขึ้นคุณประโยชน์ทริกเกอร์

นี่ครอบครองกิจวัตรแห่งหนมีเวลา 24 ชั่วโมงกับขณะระหว่างการปลิดชีวิตญิบครั้งสิบ นาทีซึ่งชี้ความว่าเลี่ยนจักทำตลอดเวลา

บิตสถานที่เป็นอันตราย

ในแบบสรรพสิ่งอิฉันลงมือ TCPSVCSมันสมองexe ( AcroTranscoder.exe ) ครอบครองซอฟต์แวร์สถานที่ถูกกฎหมายโหลด DLLs สถานที่ไม่ผิดทิ้งเก็บกับมันในกรณีนี้ Flash Video Extensionมันสมองdll เป็นชิ้นที่น่าดึงดูด

ฟังก์ชั่น DLLMain เพียงเรียกหาใช้ฟังก์ชันโดดเดี่ยวมีโปร่งใสภาคสถานที่ทึบแสง:

รูปแห่งหน 7 14; กริยาทึบแสง

ภายหลังการหลอกตบตาเหล่านี้งานตรวจสอบรหัสจะครอบครองส่วน .text ของ TCPSVCSมันสมองexe เปลี่ยนการป้องกันเป็น PAGE_EXECUTE_READWRITE ด้วยกันแทนที่มันด้วยคำแนะนำที่ไม่ต้องสร้างอะไรเลยไม่มีผลใกล้ชิด:

รูปสถานที่ 8 14;ลำดับสรรพสิ่งคำสั่งแห่งหนไม่มีผลข้างเคียง

ในสุดท้ายนี้คำสั่ง CALL ด้วยเหตุที่อยู่สรรพสิ่งฟังก์ชัน FLVCore :: ยกเลิกการกำครั้งดค่าเริ่มต้น (เป็นโมฆะ) โดย ส่วนขยายวิดีโอ Flash ซึ่งชี้ความแหวหลังจากโหลด DLL ที่เป็นอันตรายครั้นรันไทม์เรียก WinMain แห่ง TCPSVCS.exe ตัวชี้คำประกาศิตจะแสดงไปแห่งหนเลื่อน NOP ซึ่งสุดท้ายนี้จะเรียก FLVCore :: Uninitialize (void) ขั้นตอนถัดจาก

ฟังก์ชั่นนี้จักสร้าง mutex ที่เริ่มต้นด้วย 181C8480-A975-411C-AB0A-630DB8B0A221> และติดตามด้วยชื่อเสียงเรียงนามผู้ใช้ปัจจุบันจากนั้นจะอ่านไฟล์ที่ถูกดร็อปพร้อมด้วย & # xA0; .db3 & # xA0;ส่วนเสริมซึ่งมีเครื่องหมายที่เปล่าขึ้นอยู่กับฐานันดรและใช้คืน CreateThread เพื่อเรียกหาใช้เนื้อหา

เนื้อความของแฟ้ม. db3 ครอบครอง shellcode ที่ชดใช้โดย OceanLotusใหม่เราบรรลุผลในการแตกบรรจุภัณฑ์เพราะว่าใช้สคริปต์ถ่ายแบบที่อิฉันเผยแพร่บนบานศาลกล่าว GitHub

สคริปต์จะแบ่งขั้นตอนสุดท้ายส่วนประกอบตรงนี้เป็นแบ็คดอร์แห่งเราพินิจพิจารณาไปแล้วในงานพิมพ์ทางเทคนิคนี้: OceanLotus: เทคนิคเก่า ๆ , แบ็คดอร์นวชาตเป็นที่รู้จักเช่นนี้ขนมจาก GUID A96B020F-0000-466F-A96D-A91BBF8EAC96 ที่ประกอบด้วยอยู่ในไบนารีการกำหนดค่ามัลแวร์ยังคงถูกใส่รหัสในทรัพยากร PEประกอบด้วยการกำหนดค่าเกือบเหมือนกัน แต่เซิร์ฟเวอร์ C & amp; C ตรงนั้นแตกต่างจากที่เผยแพร่แล้ว:

|
• andreagahuvrauvin [.] com
|
• byronorenstein คอม
[.] | [มันสมอง]
• stienollmache xyz
|

เมื่อOceanLotus อธิบายเทคนิคใหม่ ๆ ที่จะอยู่ภายใต้เรดาร์พวกเขากลับมาพร้อมทั้ง 1C; better1D;รุ่นของกระบวนการติดเชื้อโดยการเลือกชื่อแบบสุ่มและงานเติมแฟ้มข้อมูลที่เรียกทำงานได้มาด้วยข้อมูลแบบสุ่มพวกมันจะลดจำนวนสรรพสิ่ง IoCs ที่เชื่อถือได้ (ตามแฮชและชื่อไฟล์)นอกจากนั้นเนื่องจากพวกเขากำลังใช้การโหลดข้างข้างของ DLL ผู้โจมตีจักต้องแปะไบนาเรียว AcroTranscoder ไบนาเรียวที่ถูกต้องตามกฎหมาย

คลังข้อมูลแบบพองตัวเองแบบ

หลังจากใช้แฟ้ม RTF กลุ่มริเริ่มใช้คลังข้อมูลฉบับร่างขยายตัวเอง (SFX) ที่ใช้ไอคอนสิ่งพิมพ์ทั่วไปเพื่อที่จะพยายามกลิ้งกลอกผู้ที่ตกเป็นเหยื่อสิ่งพิมพ์นี้จัดทำโดยย่อ Threatbook (ภาษาจีน)ครั้นรันไฟล์ RAR ต้นร่างขยายตัวเองเหล่านี้จะช่างและเรียกหาใช้แฟ้ม DLL (พร้อมด้วยนามสกุล. ocx) ครบครันเพย์โหลดสุดท้ายดำรงฐานะ {A96B020F-0000-466F-A96D-A91BBF8EAC96 ที่ประกอบด้วยการทำเอกสารวางก่อนหน้านี้ .dll มันสมองตั้งแต่กลางเดือนมกราคม 2019 OceanLotus ริเริ่มนำเทคนิคนี้หวนกลับใช้ใหม่ แต่สับเปลี่ยนการกำหนดคุณประโยชน์บางอย่างครั้นเวลาเปลี่ยนไปซีกนี้จะอธิบายจดเทคนิคกับสิ่งที่พวกเขาเปลี่ยนแปลงเพื่อให้สำเร็จ

การหลงรักนก

งานพิมพ์ THICH-THONG-LAC-HANH-THAP-THIEN-VIET-NAM (1) .EXE (คือ 1C; ความสัมพันธ์ที่ชื่นชอบสรรพสิ่ง VIETNAMESE PERFORMANCE1D ครั้งแรกดังที่ Google แปลภาษามนุษย์แปลตวาด SHA-1: AC10F5B1D5ECAB22B7B418D6E98FA18E32BABBแฟ้มข้อมูล SFX ถูกก่อสร้างขึ้นอย่างชาญฉลาดด้วยเหตุที่คำอธิบาย ( ข้อมูลเวอร์ชัน ) เจาะจงว่า it19; sa 1C; JPEG Image1D;สคริปต์สิ่งของ SFX มีดังต่อไปนี้:

รูปแห่ง 9 14 คำสั่ง SFX

มัลแวร์จักลดลง 9ec60ada-a200-4159-b310-8071892ed0c3 .ocx (SHA-1: EFAC23B0E6395B1178BCF7086F72344B24C04DCC )jpg .

รูปภาพล่อจากนี้ไป:

รูปแห่ง 10 14;จิตรเลขาล่อลวง

เธออาจสังเกตเห็นสองบรรทัดแต่ต้นในสคริปต์ SFX เรียกหาใช้ไฟล์ OCX สองครั้ง แต่ไม่ใช่เช่นนั้นความผิดพลาด 26;

9ec60ada-a200-4159-b310-8071892ed0c3 มันสมองocx (ShLd.dll)

การควบกำกับการหลั่งไหลของแฟ้ม OCX file19 นั้นละม้ายกับชิ้นส่วน OceanLotus อื่น ๆ : มีจำนวนมาก JZ / JNZ และPUSH / RET หลั่นการสอนสอดแทรกด้วยรหัสขยะ

รูปที่ สิบเอ็ด 14;

ภายหลังถักเครื่องหมายเศษต่อจากนั้นการส่งออก DllRegisterServer แห่งไม่ผิดเรียกเพราะ regsvr32.exe ประกอบด้วยรูปพรรณสัณฐานเพราะฉะนี้:

ตนที่ 12 14; เครื่องหมายหลักสิ่งของโปรแกรมประดิษฐาน

โดยทั่วไปหนแรกที่ DllRegisterServer ไม่ผิดเรียกเลี่ยนตั้งค่ารีจิสทเรียว HKCU SOFTWARE Classes CLSID E08A0F4B-1F65-4D4D-9A09-BD4625B9C5A1 Model เพื่อจะชดเชยการเข้ารหัสในที่ DLL ( 0x100011DE0) ). | | ครั้งลำดับที่สองแห่งหนเรียกใช้ฟังก์ชันฟังก์ชันจักอ่านค่าเดียวกันตรงนี้และเรียกใช้คืนฟังก์ชันตามที่สิงสู่ตรงนั้นหลังจากนั้นทรัพยากรจักไม่ผิดอ่านกับปฏิบัติการและประกอบด้วยการกระทำณหน่วยความจำมากมาย

shellcode เป็น PE ร่างกายโหลดโดดเดี่ยวกับดักแห่งใช้แห่งแคมเปญ OceanLotus ก่อนหน้าเลี่ยนสมรรถจำลองอีกด้วยสคริปต์การจำลอง miasm สรรพสิ่งดีฉันในบั้นปลายเลี่ยนจักน้อยลง db293b825dcc419ba7dc2c49fa2757ee.dll หน่วยความจำและกระทำ DllEntry

DLL ดูดเนื้อความสิ่งของ its รีซอร์สแปลรหัส (AES-256-CBC) กับขยายการบีบบด (LZMA)ทรัพยากรมีหนทางเฉพาะที่ค่อนข้างคล่องในที่งานทำวิศวกรรมทวนทบ

รูปสถานที่ 13 14 แบบสร้างการกำทีดค่าตัวประดิษฐาน (KaitaiStruct Visualizer)

การกำทีดคุณค่าประกอบด้วยเหตุชัดเจน: ขึ้นกับระดับสิทธิเรื่องอึไบนบานศาลกล่าวาเรียวจักถูกสลักจรอีกต่างหาก % appdata% Intel logs BackgroundUploadTask.cpl หรือขึ้นอยู่กับระดับสิทธิ% windir% System32 BackgroundUploadTaskมันสมองcpl (หรือว่า SysWOW64 เพราะว่ากระบิล 64 เลขฐานสอง)
| ถัดจากงานหลงเหลืออยู่นั้นทำกันได้โดยงานสร้างการงานชื่อ BackgroundUploadTask [junk] .job เพราะว่าที่ [ขยะ] รวมความว่าพวกของ 0x9D และ 0xA0 ไบต์

ชื่อแอปพลิเคชันสิ่งของธุรกิจตกว่า % windir% System32 controlมันสมองexe และคุณค่าพารามิเตอร์ดำรงฐานะทางสิ่งของไบนบานาเรียวทิ้งกิจธุระกำบังอยู่ถูกตั้งค่าปันออกทำงานทุกวี่ทุกวัน

โครงสร้างแฟ้มข้อมูล CPL ครอบครอง DLL แห่งหนมีชื่อภายในรวมความว่า ac8e06de0a6c4483af9837d96504127eมันสมองdll ด้วยกันส่งออก CPlApplet ฟังก์ชั่นไฟล์ตรงนี้ถอดรหัสเสี้ยมเฉพาะเจาะจงทรัพยากร A96B020F-0000-466F-A96D-A91BBF8EAC96 .dll หลังจากนั้นโหลด DLL ตรงนั้นด้วยกันเรียกการส่งออกเฉพาะเจาะจง DllEntry ทัวร์กัมพูชา

แฟ้มข้อมูลจำกัดคุณประโยชน์เหลาๆ

เหลาๆมีการกำทีดค่าแห่งหนเข้ารหัสซึ่งซุกอยู่ในที่ทรัพยากรแบบสร้างของแฟ้มการกำทีดค่าค่อนข้างคล้ายกับดักแฟ้มข้อมูลก่อนหน้า

ร่างกายสถานที่ 14 14 โครงสร้างสิ่งของการกำหนดคุณค่าแบ็คดอร์ (KaitaiStruct Visualizer)

แม้จะประกอบด้วยความคล้ายคลึงกักคุมสิ่งของแบบสร้าง แม้ว่าคุณค่าในที่เขตข่าวเหล่านี้จำนวนมากมีสิทธิ์การอัปเดตพอเปรียบเทียบกับคุณค่าแห่งเอกสารทางเทคนิคของฉันตั้งแต่เดือนเดือนมีนาคม 2018

องค์ประกอบแต่ต้นสรรพสิ่งไบนบานศาลกล่าวาเรียวอาร์เรย์มี DLL ( HttpProvมันสมองdll MD5: & # xA0; 2559738D1BD4A999126F900C7357B759 ) ซึ่งระบุเพราะว่า Tencent แม้ว่าด้วยเหตุที่ชื่อการส่งออกไม่ผิดลบออกออกขนมจากไบนบานาเรียว hash don19; tการจับคู่

สาวก้าวไปอีกไมล์

ทั้งที่งานสืบเสาะแม่แบบประกอบด้วยลักษณะเด่นอยู่หญิบตรีแม่แบบสถานที่พึ่งวิเคราะห์มีอยู่ขึ้นในตอนเดือนกรกฎาคม 2561 กับอื่น ๆ ที่ละม้ายห้ามก็พบตวาดเมื่อไม่นานมานี้- มกราคมถึงต้นเดือนกุมภาพันธ์ 2019 เวกเตอร์การติดเชื้อสถานที่ใช้คืนดำรงฐานะแฟ้มข้อมูลหยุดอยู่ยืดสรรพสิ่ง SFX สถานที่ละสิ่งพิมพ์สถานที่ถูกต้องติดตามกฏหมายด้วยกันดำรงฐานะแฟ้มข้อมูล OCX แห่งเป็นอันตราย

แต่ OceanLotus จะใช้การกดยุคเก๊ เสียแต่ว่าก็ประกอบด้วยงานสำรวจพบสั่งการประทับเวลาสรรพสิ่งแฟ้มข้อมูล SFX และ OCX เช่นเดียวกันเทียมเท่า ( 0x57B0C36A (08/14/2016 @ 7:UTC 15:00) ด้วยกัน 0x498BE80F (02/06/2009 @ 7:34 am UTC) ตามลำดับ)นี่อาจจะบ่งคดีดุพวกเขามี 1C บางชนิด; builder1D;สถานที่ใช้แบบเดียวกันด้วยกันผลัดกันรูปร่างบางอย่างแค่นั้น

ในที่ทั้งหมดงานพิมพ์แห่งหนอีฉันวิเคราะห์ตั้งแต่ต้นปี 2018 ดิฉันเห็นชื่อเสียงเรียงนามสิ่งพิมพ์สถานที่ผิดแผกกันซึ่งแนะนำการกำครั้งดจุดหมายปลายทางแห่งหนข้องเกี่ยวกับด้าว:

|
• ข่าวต่อเนื่องนวชาตสิ่งของสื่อกัมพูชา (นวชาต) มันสมองxlsมันสมองexe
|
• & # x674E; & # x5EFA; & # x9999; ( 个人 简历 ) มันสมองexe (สิ่งพิมพ์ PDF จอมปลอมของ CV)
|
• ข้อคิดเห็นการชุมนุมณประเทศสหรัฐอเมริการะหว่างวันที่ 28-29 เดือนกรกฎาคม 2018.exe
|

ตั้งแต่การค้นพบ A96B020F-0000-466F-A96D-A91BBF8EAC96 มันสมองdll เสี้ยมๆและงานพินิจพิจารณาทั่วไปโดยนักวิจัยหลายมนุษย์เรามองเห็นความเปลี่ยนแปลงบางสิ่งในที่ข่าวการกำหนดคุณประโยชน์สิ่งของ Malware19;
| ขั้นแรกคนเขียนเริ่มหักออกชื่อเสียงเรียงนามจาก DLL ผู้ช่วยหลงเหลือ ( DNSprov.dll ด้วยกัน HttpProvมันสมองdll สองเหน้า). | | หลังจากนั้นผู้ผลิตจอดการบรรจุหีบห่อ DLL ที่สาม ( HttpProvมันสมองdll เหน้าที่สอง) แบ่งออกเลือกคัดmbed แทบอันข้างเดียว

อย่างแห่งหนคู่ฟิตัดทอน์การกำครั้งดคุณค่าแบ็คดอร์จำนวนมากไม่ผิดผลัดกันเห็นจะอาจจะหลบมุมการตรวจจับดังที่ IoC จำนวนมากพร้อมใช้งาน

ฟิลด์ประธานแห่งหนมีความเปลี่ยนแปลงมีดังนี้:

|
• the 1C;AppX1D;เปลี่ยนรีจิสตรีแป้นอักษร (ดู IoCs)
|
• สตริงใส่รหัส mutex (1C; def1D ;, 1C; abc1D ;, 1C; ghi1D;)
หมายเลขท่า |

ในที่สุดตัวแปรนวชาตทั้งหมดแห่งวิเคราะห์มีเซิร์ฟเวอร์ C & amp; C ใหม่ซึ่งจัดแสดงอยู่ที่ส่วน IoCs

รวมความ

OceanLotus คล่องแคล่วกับพัฒนาอย่างต่อเนื่องหมู่มุ่งเน้นจรที่งานเปลี่ยนกลุ่มเครื่องมือและอุปกรณ์ล่อต่างๆเขาทั้งหลายห่อสิ่งพิมพ์ที่น่ารู้อย่างชาญฉลาดโดยเกาะตามเหตุการณ์ยุคปัจจุบันที่น่าจะเป็นแห่งสนใจของผู้ตกเป็นเหยื่อพวกเขายังคงไตร่ตรองหากรรมวิธีที่ผิดแผกกันด้วยกันใช้ย้ำและอ่านรหัสการหาประโยชน์ที่เปิดเผยต่อหมู่ชนเช่น Equation Editorยิ่งกว่านั้นพวกเขายังคงปฏิรูปเทคนิคเพื่อจะลดจำนวนรวมสิ่งของแห่งหนเหลืออยู่แห่งเหยื่อของพวกเขา 19;เครื่องจักรจึงสนับสนุนลดตำแหน่งการตรวจจับโดยผลิตผลความปลอดภัยเนื่องจากเราคว้าแสดงการดำเนินการณหน่วยความจำจำนวนมากประกอบด้วยการสร้างชื่อไฟล์แบบสุ่มและผู้ผลิต OceanLotus ได้คลี่คลายไขไบนบานศาลกล่าวารีของพวกเขาเพื่อที่จะหลีกเลี่ยงการถูกสำรวจพบอีกวงที่น่าศึกษามากลงความว่าชื่อโดเมนบางชื่อดูเหมือนว่ามาจากพจนานุกรมOceanLotus ชดใช้ความพยายามโดยเฉพาะในงานดำเนินการแคมเปญสรรพสิ่งพวกเขาถัดจาก แต่ don19 เปล่ากลั้นลมหายใจสิ่งของคุณไว้ 26;

ตัวบ่งชี้ของการประนีประนอม (IOC)

IoC ในบล็อกนี้ดังแอตทยึดคืนิวต์ MITER ATT & amp; CK ยังประกอบด้วยอยู่แห่งที่เก็บ GitHub ของเราอีกด้วย

คีย์เรียวจิสทรี / คุณประโยชน์:

|
• HKCU SOFTWARE Classes CLSID E08A0F4B-1F65-4D4D-9A09-BD4625B9C5A1 รุ่น
|
• แห่งหนอำนวยประโยชน์ HKLMUYNOHFTLMAREAppFT<<> AppXbf13d4ea2945444d8b13e2121cb6b663
|
• AppX70162486c7554f7f80f481985d67586d
|
• AppX37cc7fdccd644b4f85f4b22d5a3f105a
|

Mutexes:

| 181C8480-A975-411C-AB0A-630DB8B0A221 _ (+ ชื่อเสียงเรียงนามผู้บริโภค) < >