Sepulcher Malware
Sepulcher Malware es el nombre dado a una nueva familia de malware que se ha observado que se entrega como carga útil en dos campañas de ataque independientes. La primera campaña utilizó señuelos relacionados con COVID-19 para engañar a las personas para que abrieran un archivo adjunto de correo electrónico con malware y estaba dirigida a varias entidades europeas, desde organizaciones de investigación de políticas sin fines de lucro hasta instituciones diplomáticas y legislativas, así como organizaciones globales que se ocupan de asuntos económicos. . La segunda campaña de phishing que llevó a Sepulcher se dirigió a los disidentes tibetanos. A pesar de la naturaleza radicalmente diferente de los dos grupos objetivo, los investigadores descubrieron conexiones existentes entre los dos, como las cuentas de correo electrónico de los operadores que han sido utilizadas anteriormente por grupos chinos de ATP (Amenaza persistente avanzada). De hecho, existe evidencia consistente de que el culpable de ambas campañas de ataque es un grupo de hackers chinos llamado TA413.
El malware Sepulcher se distribuye a través de correos electrónicos de phishing
En el ataque contra las organizaciones europeas, TA413 decidió aprovechar la confusión y la incertidumbre en torno a la pandemia de COVID-19 y diseñó los correos electrónicos corruptos para imitar las acciones críticas de preparación, preparación y respuesta de la OMS (Organización Mundial de la Salud) para COVID-19, Documento de orientación provisional. Los correos electrónicos de phishing llevaban un archivo RTF dañado que, cuando se ejecutaba, explotaba una vulnerabilidad del Editor de ecuaciones de Microsoft para instalar un objeto RTF bajo la apariencia de un metaarchivo de Windows (WMF) en un directorio predeterminado ubicado en % \ AppData \ Local \ Temp \ wd4sx .wmf . La ejecución del archivo WMF da como resultado la entrega de la carga útil de Sepulcher a la máquina infectada.
En el ataque de phishing contra entidades relacionadas con tibetanos, ATP413 usó un PowerPoint comprometido (PPXS) llamado 'TIBETANOS SON GOLPEADOS POR VIRUS MORTAL QUE LLEVA UN ARMA Y HABLA CHINO.ppsx'. Cuando se ejecuta, el archivo ppsx inicia una conexión a la dirección IP IP 118.99.13.4 y descarga la carga útil del malware Sepulcher llamada 'file.dll'. Una vez guardado en el sistema comprometido, se cambia el nombre del archivo de carga útil a "credential.dll".
El Sepulcher Malware es una RATA potente
Si bien el malware Sepulcher puede no emplear una tecnología nunca antes vista, sigue siendo un troyano de acceso remoto (RAT) amenazante que está equipado con numerosas funciones de recopilación de datos y manipulación del sistema. Cuando se ejecuta el archivo adjunto de correo electrónico dañado, suelta un archivo llamado 'wd4sx.wmf' que contiene la carga útil de Sepulcher Malware y un cuentagotas de carga útil. El cuentagotas toma la forma de un archivo temporal llamado 'OSEB979.tmp' y su función es entregar el malware Sepulcher como un 'credential.dll' al directorio % AppData% \ Roaming \ Identities \ Credential.dll . El malware logra la persistencia mediante el uso de rundlll32.exe y la explotación de la función de exportación 'GetObjectCount' mediante el comando:
schtasks / create / tr "rundll32.exe% APPDATA% \ Identities \ Credential.dll, GetObjectCount" / tn "lemp" / sc HOURLY
Sepulcher Malware se conecta a la dirección IP 107.151.194.197 a través de tres puertos diferentes: 80, 443 y 8080. Al recibir comandos específicos, Sepulcher Malware puede comenzar a recopilar datos del sistema infectado, crear un shell de comando inverso y manipular archivos y directorios. Entre la información recopilada por Sepulcher Malware se encuentran detalles sobre las unidades conectadas al dispositivo comprometido, rutas de directorio, procesos en ejecución, servicios e información de archivos.
