Worok: Η μεγάλη εικόνα

Οι ερευνητές της ESET βρήκαν πρόσφατα στοχευμένες επιθέσεις που χρησιμοποιούσαν μη τεκμηριωμένα εργαλεία εναντίον διαφόρων εταιρειών υψηλού προφίλ και τοπικών κυβερνήσεων κυρίως στην Ασία. Αυτές οι επιθέσεις πραγματοποιήθηκαν από μια προηγουμένως άγνωστη ομάδα κατασκοπείας που ονομάσαμε Worok και η οποία είναι ενεργή τουλάχιστον από το 2020. Το σύνολο εργαλείων του Worok περιλαμβάνει έναν φορτωτή C++ CLRLoad, έναν PowerShell backdoor PowHeartBeat και έναν C# loader PNGLoad που χρησιμοποιεί steganography για να εξάγει κρυφά κακόβουλα ωφέλιμα φορτία από αρχεία PNG.

Ποιος είναι ο Worok;

Κατά τη διάρκεια του ProxyShell (CVE-2021-34523) αποκάλυψη ευπάθειας στις αρχές του 2021, παρατηρήσαμε δραστηριότητα από διάφορες ομάδες APT. Ένα εμφάνισε χαρακτηριστικά κοινά με TA428:

• Χρόνοι δραστηριότητας
• Στοχευμένες κάθετες
• Χρήση του ShadowPad

Το υπόλοιπο σύνολο εργαλείων είναι πολύ διαφορετικό: για παράδειγμα, το TA428 συμμετείχε στο Συμβιβασμός με δυνατότητα επιφάνειας εργασίας το 2020. Θεωρούμε ότι οι σύνδεσμοι δεν είναι αρκετά ισχυροί για να θεωρηθεί ότι το Worok είναι η ίδια ομάδα με το TA428, αλλά οι δύο ομάδες ενδέχεται να μοιράζονται εργαλεία και να έχουν κοινά ενδιαφέροντα. Αποφασίσαμε να δημιουργήσουμε ένα σύμπλεγμα και το ονομάσαμε Worok. Το όνομα επιλέχθηκε μετά από ένα mutex σε έναν φορτωτή που χρησιμοποιείται από την ομάδα. Περαιτέρω δραστηριότητα με παραλλαγές των ίδιων εργαλείων συνδέθηκε στη συνέχεια με αυτήν την ομάδα. Σύμφωνα με την τηλεμετρία της ESET, το Worok είναι ενεργό από τα τέλη του 2020 και συνεχίζει να είναι ενεργό μέχρι τη στιγμή που γράφονται αυτές οι γραμμές.

Πίσω στα τέλη του 2020, το Worok στόχευε κυβερνήσεις και εταιρείες σε πολλές χώρες, και συγκεκριμένα:

• Μια εταιρεία τηλεπικοινωνιών στην Ανατολική Ασία
• Μια τράπεζα στην Κεντρική Ασία
• Μια εταιρεία ναυτιλιακής βιομηχανίας στη Νοτιοανατολική Ασία
• Μια κυβερνητική οντότητα στη Μέση Ανατολή
• Μια ιδιωτική εταιρεία στη νότια Αφρική

Υπήρξε σημαντική διακοπή στις παρατηρούμενες λειτουργίες από το 2021-05 έως το 2022-01, αλλά η δραστηριότητα Worok επέστρεψε το 2022-02, με στόχο:

• Ενεργειακή εταιρεία στην Κεντρική Ασία
• Μια οντότητα του δημόσιου τομέα στη Νοτιοανατολική Ασία

Το σχήμα 1 παρουσιάζει έναν οπτικό χάρτη θερμότητας των στοχευόμενων περιοχών και κάθετων.

Λαμβάνοντας υπόψη τα προφίλ των στόχων και τα εργαλεία που έχουμε δει να εφαρμόζονται εναντίον αυτών των θυμάτων, πιστεύουμε ότι ο κύριος στόχος του Worok είναι η κλοπή πληροφοριών.

Τεχνική ανάλυση

Ενώ η πλειονότητα των αρχικών προσβάσεων είναι άγνωστη, σε ορισμένες περιπτώσεις μέχρι το 2021 και το 2022 έχουμε δει να χρησιμοποιούνται εκμεταλλεύσεις έναντι των τρωτών σημείων του ProxyShell. Σε τέτοιες περιπτώσεις, συνήθως έχουν μεταφορτωθεί κελύφη ιστού μετά την εκμετάλλευση αυτών των τρωτών σημείων, προκειμένου να παρέχεται επιμονή στο δίκτυο του θύματος. Στη συνέχεια, οι χειριστές χρησιμοποίησαν διάφορα εμφυτεύματα για να αποκτήσουν περαιτέρω δυνατότητες.

Μόλις αποκτήθηκε η πρόσβαση, οι χειριστές ανέπτυξαν πολλαπλά, δημόσια διαθέσιμα εργαλεία για αναγνώριση, συμπεριλαμβανομένων Mimikatz, Σκουληκαντέρα, ReGeorg, να NBTscan, και στη συνέχεια ανέπτυξαν τα προσαρμοσμένα εμφυτεύματα τους: έναν φορτωτή πρώτου σταδίου, ακολουθούμενο από έναν φορτωτή .NET δεύτερου σταδίου (PNGLoad). Δυστυχώς, δεν έχουμε τη δυνατότητα να ανακτήσουμε κανένα από τα τελικά ωφέλιμα φορτία. Το 2021, ο φορτωτής πρώτου σταδίου ήταν ένα συγκρότημα CLR (CLRLoad), ενώ το 2022 αντικαταστάθηκε, στις περισσότερες περιπτώσεις, από μια κερκόπορτα PowerShell με πλήρεις δυνατότητες (PowHeartBeat) – και οι δύο αλυσίδες εκτέλεσης απεικονίζονται στο Σχήμα 2. Αυτές οι τρεις Τα εργαλεία περιγράφονται αναλυτικά στις ακόλουθες υποενότητες.

Εικόνα 2. Συμβιβαστικές αλυσίδες Worok

CLRLload: Φορτωτής συναρμολόγησης CLR

Το CLRLoad είναι ένα γενικό PE των Windows που έχουμε δει και στις δύο εκδόσεις 32 και 64 bit. Είναι ένας φορτωτής γραμμένος σε C++ που φορτώνει το επόμενο στάδιο (PNGLoad), το οποίο πρέπει να είναι Συνέλευση Common Language Runtime (CLR). αρχείο DLL. Αυτός ο κώδικας φορτώνεται από ένα αρχείο που βρίσκεται σε δίσκο σε έναν νόμιμο κατάλογο, πιθανώς για να παραπλανήσει τα θύματα ή τους ανταποκριτές συμβάντων να πιστέψουν ότι είναι νόμιμο λογισμικό.

Ορισμένα δείγματα CLRLload ξεκινούν αποκωδικοποιώντας την πλήρη διαδρομή του αρχείου του οποίου το περιεχόμενο θα φορτώσουν ως το επόμενο στάδιο. Αυτές οι διαδρομές αρχείων κωδικοποιούνται με ένα XOR ενός byte, με διαφορετικό κλειδί σε κάθε δείγμα. Αποκωδικοποιημένες ή καθαρό κείμενο, αυτές οι διαδρομές αρχείων είναι απόλυτες, με τις ακόλουθες να είναι αυτές που έχουμε συναντήσει:

• C:Program FilesVMwareVMware ToolsVMware VGAuthxsec_1_5.dll
• C:Program FilesUltraViewermsvbvm80.dll
• C:Program FilesInternet ExplorerJsprofile.dll
• C:Program FilesWinRarRarExtMgt.dll
• C:Program Files (x86)Foxit SoftwareFoxit Readerlucenelib.dll

Στη συνέχεια, δημιουργείται ένα mutex και έχουμε δει διαφορετικό όνομα σε κάθε δείγμα. Ο φορτωτής ελέγχει για αυτό το mutex. αν βρεθεί, βγαίνει, επειδή ο φορτωτής λειτουργεί ήδη. Σε ένα από τα δείγματα, το mutex Wo0r0KGWhYGO συναντήθηκε, γεγονός που έδωσε στην ομάδα το όνομά της Worok.

Στη συνέχεια, το CLRLoad φορτώνει ένα συγκρότημα CLR από την πιθανώς αποκωδικοποιημένη διαδρομή αρχείου. Ως μη διαχειριζόμενος κώδικας, το CLRLoad το επιτυγχάνει μέσω CorBindToRuntimeEx Το API των Windows καλεί σε παραλλαγές 32-bit ή CLRCreateInstance κλήσεις σε παραλλαγές 64-bit.

PowHeartBeat: Πίσω πόρτα PowerShell

Το PowHeartBeat είναι μια κερκόπορτα με πλήρεις δυνατότητες γραμμένη σε PowerShell, η οποία έχει συσκοτιστεί χρησιμοποιώντας διάφορες τεχνικές όπως συμπίεση, κωδικοποίηση και κρυπτογράφηση. Με βάση την τηλεμετρία ESET, πιστεύουμε ότι το PowHeartBeat αντικατέστησε το CLRLoad σε πιο πρόσφατες καμπάνιες Worok ως το εργαλείο που χρησιμοποιείται για την εκκίνηση του PNGLoad.

Το πρώτο επίπεδο του κώδικα της κερκόπορτας αποτελείται από πολλά κομμάτια κώδικα PowerShell με κωδικοποίηση base64. Μόλις το ωφέλιμο φορτίο ανακατασκευαστεί, εκτελείται μέσω IEX. Μόλις αποκωδικοποιηθεί, εκτελείται ένα άλλο επίπεδο ασαφούς κώδικα, το οποίο μπορούμε να δούμε στο Σχήμα 3.

Εικόνα 3. Απόσπασμα της αποκωδικοποιημένης κύριας συνάρτησης του δεύτερου στρώματος του PowHeartBeat

Το δεύτερο στρώμα του backdoor first base64 αποκωδικοποιεί το επόμενο στρώμα του κώδικά του, το οποίο στη συνέχεια αποκρυπτογραφείται με Τριπλό DES (Λειτουργία CBC). Μετά την αποκρυπτογράφηση, αυτός ο κωδικός αποσυμπιέζεται χρησιμοποιώντας το gzip αλγόριθμο, δίνοντας έτσι το τρίτο επίπεδο κώδικα PowerShell, που είναι η πραγματική κερκόπορτα. Χωρίζεται σε δύο κύρια μέρη: διαμόρφωση και χειρισμός εντολών backdoor.

Το κύριο επίπεδο κώδικα backdoor είναι επίσης γραμμένο στο PowerShell και χρησιμοποιεί HTTP ή ICMP για επικοινωνία με τον διακομιστή C&C. Λειτουργεί όπως φαίνεται στο Σχήμα 4.

Εικόνα 4. Λειτουργία του PowHeartBeat

διαμόρφωση

Η διαμόρφωση περιέχει πολλά πεδία, συμπεριλαμβανομένου του αριθμού έκδοσης, της προαιρετικής διαμόρφωσης διακομιστή μεσολάβησης και της διεύθυνσης C&C. Ο Πίνακας 1 περιγράφει τις έννοιες των πεδίων διαμόρφωσης στις διάφορες εκδόσεις που έχουμε παρατηρήσει.

Πίνακας 1. Έννοιες πεδίων διαμόρφωσης

Το σχήμα 5 δείχνει ένα παράδειγμα της διαμόρφωσης που εξήχθη από ένα δείγμα PowHeartBeat (SHA-1: 757ABA12D04FD1167528FDD107A441D11CD8C427).

Εικόνα 5. Παράδειγμα διαμόρφωσης

Κρυπτογράφηση δεδομένων

Το PowHeartBeat κρυπτογραφεί αρχεία καταγραφής και πρόσθετο περιεχόμενο αρχείων διαμόρφωσης.

Το περιεχόμενο του αρχείου καταγραφής κρυπτογραφείται μέσω XOR πολλαπλών byte με ένα κλειδί που καθορίζεται σε καθαρό κείμενο στο δείγμα. Με ενδιαφέρο, ταυτότητα πελάτη χρησιμοποιείται ως αλάτι για το ευρετήριο στον πίνακα κλειδιών. Το κλειδί είναι ένας πίνακας 256 byte, ο οποίος ήταν πανομοιότυπος σε κάθε δείγμα που συναντήσαμε. Το πρόσθετο περιεχόμενο του αρχείου διαμόρφωσης κρυπτογραφείται μέσω XOR πολλαπλών byte με την τιμή από Μυστικό κλειδί ως το κλειδί του.

Επικοινωνίες C&C

Το PowHeartBeat χρησιμοποίησε το HTTP για επικοινωνίες C&C μέχρι την έκδοση 2.4 και μετά άλλαξε σε ICMP. Και στις δύο περιπτώσεις η επικοινωνία δεν είναι κρυπτογραφημένη.

HTTP

Σε έναν άπειρο βρόχο, η κερκόπορτα στέλνει ένα αίτημα GET στον διακομιστή C&C, ζητώντας μια εντολή για έκδοση. Η κρυπτογραφημένη απάντηση αποκρυπτογραφείται από την κερκόπορτα, η οποία επεξεργάζεται την εντολή και εγγράφει την έξοδο της εντολής σε ένα αρχείο του οποίου το περιεχόμενο αποστέλλεται στη συνέχεια στον διακομιστή C&C μέσω αιτήματος POST.

Η μορφή των αιτημάτων GET είναι η εξής:

Σημειώστε ότι το αίτημα δημιουργείται χρησιμοποιώντας τα ομώνυμα πεδία διαμόρφωσης.

Στην απόκριση από τον διακομιστή C&C, το τρίτο byte του περιεχομένου είναι το αναγνωριστικό εντολής που υποδεικνύει την εντολή προς επεξεργασία από την κερκόπορτα. Θα το ονομάσουμε command_id. Το υπόλοιπο περιεχόμενο της απάντησης θα μεταβιβαστεί ως όρισμα στην εντολή που υποβάλλεται σε επεξεργασία. Αυτό το περιεχόμενο είναι κρυπτογραφημένο με τον αλγόριθμο που φαίνεται στην Εικόνα 6, TaskId είναι η τιμή του cookie που πήρε το όνομά του CookieTaskId's τιμή από τη διαμόρφωση.

Εικόνα 6. Ζητείται αλγόριθμος κρυπτογράφησης δεδομένων περιεχομένου

Η απάντηση από τον διακομιστή C&C περιέχει επίσης ένα άλλο cookie, το όνομα του οποίου καθορίζεται από το backdoor CookieTerminalId μεταβλητή διαμόρφωσης. Η τιμή αυτού του cookie επαναλαμβάνεται στο αίτημα POST από την κερκόπορτα και δεν πρέπει να είναι κενό. Μετά την εκτέλεση της εντολής backdoor, το PowHeartBeat στέλνει το αποτέλεσμα ως αίτημα POST στον διακομιστή C&C. Το αποτέλεσμα αποστέλλεται ως αρχείο του οποίου το όνομα είναι .png.

ICMP

Ξεκινώντας από την έκδοση 2.4 του PowHeartBeat, το HTTP αντικαταστάθηκε από το ICMP, έστειλε πακέτα με χρονικό όριο έξι δευτερολέπτων και αποσπασματικά. Η επικοινωνία μέσω του ICMP είναι πιθανότατα ένας τρόπος αποφυγής του εντοπισμού.

Δεν υπάρχει καμία σημαντική αλλαγή στις εκδόσεις 2.4 και μεταγενέστερες, αλλά παρατηρήσαμε ορισμένες τροποποιήσεις στον κώδικα:

• Το PowHeartBeat στέλνει ένα πακέτο καρδιακού παλμού σε κάθε βρόχο που περιέχει τη συμβολοσειρά abcdefghijklmnopqrstuvwxyz, πριν ζητήσετε εντολή. Αυτό ενημερώνει τον διακομιστή C&C ότι η κερκόπορτα είναι έτοιμη να λάβει εντολές.
• Τα αιτήματα για λήψη εντολών που εκτελούνται από την κερκόπορτα περιέχουν τη συμβολοσειρά abcdefghijklmnop.

Τα πακέτα καρδιακών παλμών έχουν τη μορφή που περιγράφεται στο Σχήμα 7.

Εικόνα 7. Διάταξη πακέτων καρδιακών παλμών

Η διαφορά μεταξύ ταυτότητα πελάτη και σημαία πελάτη είναι αυτό ταυτότητα πελάτη διαφέρει σε κάθε δείγμα ενώ σημαία πελάτη είναι το ίδιο σε κάθε δείγμα που χρησιμοποιεί ICMP. σημαία χτύπου της καρδιάς υποδηλώνει ότι η κερκόπορτα στέλνει έναν καρδιακό παλμό. Η απόκριση από τον διακομιστή C&C έχει τη μορφή που περιγράφεται στην Εικόνα 8.

Εικόνα 8. Διάταξη απόκρισης διακομιστή C&C

σημαία εδώ υποδεικνύει εάν υπάρχει εντολή για έκδοση στην κερκόπορτα. Τα αιτήματα για λήψη εντολών έχουν τη μορφή που περιγράφεται στην Εικόνα 9.

Εικόνα 9. Διάταξη για αιτήματα λήψης εντολών

Σημειώστε ότι η λειτουργία ICMP της κερκόπορτας επιτρέπει τη λήψη απεριόριστου όγκου δεδομένων, χωρισμένων σε κομμάτια και μεταβλητές μήκος δεδομένων, τρέχουσα θέση και συνολικό μήκος χρησιμοποιούνται για την παρακολούθηση των μεταδιδόμενων δεδομένων. Οι απαντήσεις σε αυτά τα αιτήματα έχουν τη μορφή που περιγράφεται στο Σχήμα 10.

Εικόνα 10. Διάταξη απαντήσεων σε αιτήματα λήψης εντολών

Όπως και στις απαντήσεις HTTP, το αναγνωριστικό εντολής είναι το τρίτο byte ημερομηνία.

Μετά από επτά διαδοχικές απαντήσεις ICMP με κενό ή ασυνεπώς μορφοποιημένο περιεχόμενο, οι μεταφορές μεταξύ του backdoor και του διακομιστή C&C θεωρούνται ολοκληρωμένες.

Όσον αφορά τα αιτήματα αποστολής του αποτελέσματος της εντολής που έχει εκδοθεί στον διακομιστή C&C, η λειτουργία διακομιστή αλλάζει για λειτουργία ανάρτησης και η τελική συμβολοσειρά (abcdefghijklmnop) αλλάζει για τα δεδομένα αποτελέσματος.

Εντολές πίσω πόρτας

Το PowHeartBeat έχει διάφορες δυνατότητες, συμπεριλαμβανομένης της εκτέλεσης εντολών/διαδικασιών και χειρισμού αρχείων. Ο Πίνακας 2 παραθέτει όλες τις εντολές που υποστηρίζονται από τα διάφορα δείγματα που αναλύθηκαν.

Πίνακας 2. Περιγραφές εντολών PowHeartBeat

Σε περίπτωση σφαλμάτων στην πλευρά της κερκόπορτας, η κερκόπορτα χρησιμοποιεί ένα συγκεκριμένο αναγνωριστικό εντολής 0x00 στο αίτημα POST προς τον διακομιστή C&C, υποδεικνύοντας έτσι ότι παρουσιάστηκε σφάλμα.

Σημειώστε ότι πριν στείλετε τις πληροφορίες πίσω στον διακομιστή C&C, τα δεδομένα συμπιέζονται με gzip.

PNGLoad: Steganographic loader

Το PNGLoad είναι το ωφέλιμο φορτίο δεύτερου σταδίου που αναπτύσσεται από το Worok σε παραβιασμένα συστήματα και, σύμφωνα με την τηλεμετρία της ESET, φορτώνεται είτε από το CLRLoad είτε από το PowHeartBeat. Αν και δεν βλέπουμε κανέναν κώδικα στο PowHeartBeat που να φορτώνει απευθείας το PNGLoad, το backdoor έχει τη δυνατότητα λήψης και εκτέλεσης πρόσθετων ωφέλιμων φορτίων από τον διακομιστή C&C, κάτι που είναι πιθανό ο τρόπος με τον οποίο οι εισβολείς έχουν αναπτύξει το PNGLoad σε συστήματα που έχουν παραβιαστεί με το PowHeartBeat. Το PNGLoad είναι ένα πρόγραμμα φόρτωσης που χρησιμοποιεί byte από αρχεία PNG για να δημιουργήσει ένα ωφέλιμο φορτίο για εκτέλεση. Είναι ένα εκτελέσιμο .NET 64-bit – συσκοτισμένο με .NET Reactor – που μεταμφιέζεται ως νόμιμο λογισμικό. Για παράδειγμα, το σχήμα 11 δείχνει τις κεφαλίδες CLR ενός δείγματος που μεταμφιέζεται σε WinRAR DLL.

Εικόνα 11. Παράδειγμα πλαστού WinRAR DLL

Μόλις αποσυμφορηθεί, υπάρχει μόνο μία κλάση. Σε αυτή την τάξη, υπάρχει ένα MainPath χαρακτηριστικό που περιέχει τη διαδρομή καταλόγου που αναζητά το backdoor, συμπεριλαμβανομένων των υποκαταλόγων του, για αρχεία με α . Png επέκταση, όπως φαίνεται στο σχήμα 12.

Εικόνα 12. . Png καταχώριση αρχείων

Κάθε . Png αρχείο που βρίσκεται από αυτήν την αναζήτηση του MainPath στη συνέχεια ελέγχεται για στεγανογραφικά ενσωματωμένο περιεχόμενο. Πρώτον, το λιγότερο σημαντικό bit των τιμών R (κόκκινο), G (πράσινο), B (μπλε) και A (άλφα) κάθε εικονοστοιχείου ανακτάται και συναρμολογείται σε μια προσωρινή μνήμη. Εάν τα πρώτα οκτώ byte αυτού του buffer ταιριάζουν με τον μαγικό αριθμό που φαίνεται στο Σχήμα 13 και η επόμενη τιμή οκτώ byte, έλεγχος, δεν είναι μηδενική, το αρχείο περνά τον έλεγχο στεγανογραφικού περιεχομένου του PNGLoad. Για τέτοια αρχεία, η επεξεργασία συνεχίζεται με το υπόλοιπο buffer αποκρυπτογραφημένο με XOR πολλαπλών byte, χρησιμοποιώντας το κλειδί που είναι αποθηκευμένο στο PNGLoad's SecretKeyBytes χαρακτηριστικό και, στη συνέχεια, το αποκρυπτογραφημένο buffer αποσυμπιέζεται με gzip. Το αποτέλεσμα αναμένεται να είναι ένα σενάριο PowerShell, το οποίο εκτελείται αμέσως.

Εικόνα 13. Μορφή προσωρινής μνήμης Το PNGLoad δημιουργείται από την επεξεργασία . Png αρχεία

Είναι ενδιαφέρον ότι οι λειτουργίες που εκτελούνται από το PNGLoad καταγράφονται σε ένα αρχείο του οποίου η διαδρομή είναι αποθηκευμένη στη μεταβλητή LogFilePath. Οι λειτουργίες καταγράφονται μόνο εάν υπάρχει ένα αρχείο του οποίου η διαδρομή καθορίζεται από την εσωτερική μεταβλητή IfLogFilePath.

Δεν μπορέσαμε να λάβουμε δείγμα . Png Το αρχείο χρησιμοποιείται μαζί με το PNGLoad, αλλά ο τρόπος που λειτουργεί το PNGLoad υποδηλώνει ότι θα πρέπει να λειτουργεί με έγκυρα αρχεία PNG. Για να κρύψει το κακόβουλο ωφέλιμο φορτίο, το Worok χρησιμοποιεί αντικείμενα Bitmap σε C#, τα οποία λαμβάνουν μόνο πληροφορίες pixel από αρχεία και όχι από τα μεταδεδομένα του αρχείου. Αυτό σημαίνει ότι το Worok μπορεί να κρύψει τα κακόβουλα ωφέλιμα φορτία του σε έγκυρες, αβλαβείς εικόνες PNG και έτσι να κρυφτεί σε κοινή θέα.

Συμπέρασμα

Το Worok είναι μια ομάδα κυβερνοκατασκοπείας που αναπτύσσει τα δικά της εργαλεία, καθώς και αξιοποιεί υπάρχοντα εργαλεία, για να συμβιβάσει τους στόχους της. Η κλοπή πληροφοριών από τα θύματά τους είναι αυτό που πιστεύουμε ότι επιδιώκουν οι χειριστές επειδή επικεντρώνονται σε οντότητες υψηλού προφίλ στην Ασία και την Αφρική, στοχεύοντας διάφορους τομείς, ιδιωτικούς και δημόσιους, αλλά με ιδιαίτερη έμφαση σε κρατικούς φορείς. Οι χρόνοι δραστηριότητας και το σύνολο εργαλείων υποδεικνύουν πιθανούς δεσμούς με το TA428, αλλά κάνουμε αυτήν την αξιολόγηση με χαμηλή εμπιστοσύνη. Το προσαρμοσμένο σύνολο εργαλείων τους περιλαμβάνει δύο φορτωτές – ένα σε C++ και ένα σε C# .NET – και ένα κερκόπορτα PowerShell. Αν και η ορατότητά μας είναι περιορισμένη, ελπίζουμε ότι το να ρίξει φως σε αυτήν την ομάδα θα ενθαρρύνει άλλους ερευνητές να μοιραστούν πληροφορίες σχετικά με αυτήν την ομάδα.

ΔΟΕ

Αρχεία

Διαδρομές αρχείων

Μερικά από τα MainPath, LogFilePath και IfLogFilePath τιμές που συναντήσαμε σε δείγματα PNGLoad:

Δίκτυο

Mutexes

Στα δείγματα CLRLoad, τα ονόματα mutex που συναντήσαμε είναι:

aB82UduGX0EX
ad8TbUIZl5Ga
Mr2PJVxbIBD4
oERiQtKLgPgK
U37uxsCsA4Xm
Wo0r0KGWhYGO
xBUjQR2vxYTz
zYCLBWekRX3t
3c3401ad-e77d-4142-8db5-8eb5483d7e41
9xvzMsaWqxMy

Μπορείτε να βρείτε μια πλήρη λίστα δεικτών συμβιβασμού (IoC) και δειγμάτων το αποθετήριο μας GitHub.

Τεχνικές MITER ATT & CK

Αυτός ο πίνακας κατασκευάστηκε χρησιμοποιώντας έκδοση 11 του πλαισίου MITER ATT & CK.