Licencias para múltiples dispositivos (descuentos por volumen)

Cambia región

English Dansk Deutsch Español Français Italiano Nederlands Polski Português Svenska Türkçe Русский हिन्दी 日本語 汉语 漢語
Threat Database Malware KilllSomeOne Malware

KilllSomeOne Malware

Por Mezo en Malware
Traducir a:
Español

Los investigadores de malware han detectado un grupo de ataques dirigidos contra organizaciones no gubernamentales y otras organizaciones con sede en Myanmar. Si bien no han podido determinar la identidad exacta del actor de la amenaza responsable de los ataques, se han descubierto pruebas suficientes para sugerir la participación de un grupo APT chino.

Hasta ahora se han registrado cuatro escenarios diferentes como parte de las operaciones dañinas. Todos ellos involucran técnicas de carga del lado de DLL y hacen referencia a una ruta de PDB similar, así como a una carpeta llamada KillSomeOne. El código y la sofisticación entre los diferentes ataques muestran un gran grado de discrepancia. Algunos incorporan implementaciones simples en la codificación al mismo tiempo que contienen mensajes casi de aficionados ocultos en sus muestras. Sin embargo, al mismo tiempo, la naturaleza altamente dirigida de la operación y la implementación de las cargas útiles de malware exhiben las características de un grupo serio de APT (Amenaza persistente avanzada).

Las cargas útiles de carga lateral y amenazantes de DLL

El uso de la carga lateral de DLL no es raro. Después de todo, la técnica existe desde al menos 2013. Implica el uso de un archivo DLL dañado que falsifica uno legítimo. Como resultado, los procesos y ejecutables legítimos de Windows se aprovechan para cargar y ejecutar el código dañado que deja caer el actor de la amenaza.

En dos de las cuatro oleadas de ataques observadas, la carga útil se almacenó en un archivo llamado Groza_1.dat. Es un shellcode de cargador de PE que se encarga de descifrar la carga útil final, cargarla en la memoria y luego ejecutarla. Esta carga útil final consiste en un archivo DLL que lleva un shell de comando remoto simple capaz de conectarse a un servidor con la dirección IP 160.20.147.254 en el puerto 9999.

Los otros dos escenarios de carga lateral de DLL de KillSomeOne fueron significativamente más sofisticados. En lugar de un shell simple, involucraron un instalador complejo capaz de establecer un mecanismo de persistencia y preparar el entorno para la entrega de la carga útil final. Si bien los archivos de carga útil eran diferentes: adobe.dat y x32bridge.dat, entregaron ejecutables casi idénticos que también tenían el mismo baño de PDB.

Tendencias

Mas Visto

Cargando...