ردیابی KilllSomeOne

یک گروه چینی که با عنوان KilllSomeOne ردیابی می‌شود توسط محققان در Sophos ردیابی شد.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، این گروه جاسوسی سایبری پیشرفته با حملات جانبی DLL سازمان‌های شرکتی در میانمار را هدف قرار داده است.

گروه KilllSomeOne از عبارت KilllSomeOne در حملات دانلود جانبی DLL و از پیام‌های انگلیسی ضعیف مربوط به موضوعات سیاسی استفاده می‌کند. دانلود جانبی کتابخانه (DLL) از شیوه مدیریت فایل‌های DLL توسط برنامه‌های Microsoft Windows بهره می‌برد. در چنین حملاتی، بدافزار یک فایل مخرب جعلی DLL را در فهرست Windows WinSxS قرار می‌دهد تا سیستم عامل آن را به جای فایل قانونی دانلود کند.

این روش قبلاً از سال ۲۰۱۳ توسط سایر گروه‌های APT چینی مورد استفاده قرار گرفته بود و بعدها توسط سایر باندهای جرایم اینترنتی در حملات wild نیز مورد استفاده قرار گرفت.

طبق گفته محققان Sophos، گروه KilllSomeOne APT چهار نوع جداگانه از حمله دانلود جانبی را ترکیب می کنند. گزارش آنالیز Sophos می گوید: «ما چهار سناریوی مختلف دانلود جانبی را شناسایی کرده ایم که توسط همان عوامل تهدیدکننده استفاده شده است. دو سناریو از میان آنها، محموله ای همراه با پوسته ساده را تحویل دادند، در حالی که دو مورد دیگر مجموعه پیچیده تری از بدافزارها را به همراه داشتند. از ترکیبات هر دوی این مجموعه در حملات مشابه استفاده شده است.»

هر نوع حمله توسط همان پایگاه داده به برنامه (PDB) متصل می شود و برخی از نمونه‌های ثبت شده به مجرمان سایبری که حاوی نام KilllSomeOne هستند، متصل شده‌اند.

در سناریوی حمله اول، هکرها از یک مولفه آنتی‌ویروس مایکروسافت برای دانلود mpsvc.dll استفاده می کنند که به عنوان یک loader برای Groza_۱.dat عمل می کند. مهاجمان از یک الگوریتم رمزگذاری ساده XOR با رشته «Hapenexx بسیار بد است» به‌عنوان یک کلید واژه استفاده می‌کنند.

در سناریوی حمله دوم ، هکرها نمونه‌ای را به کار می‌گیرند که از AUG.exe استفاده می کند، یک loader به نام dismcore.dll. گروه APT از همان payload و کلید سناریوی قبلی استفاده می‌کند، تنها تفاوت در این است که هم نام فایل و هم کلید رمزگشایی با یک الگوریتم XOR یک بایت رمزگذاری شده‌اند. «در هر دو مورد ، payload در فایلی با نام Groza_۱.dat ذخیره می شود. محتوای آن فایل PE loader shellcode است، که بار نهایی را رمزگشایی می‌کند، در حافظه دانلود می شود و آن را اجرا می کند. اولین لایه loader code شامل رشته استفاده نشده است: AmericanUSA.»

دو نوع مشاهده شده دیگر دانلود جانبی KillSomeOne DLL یک نصب کننده برای پوسته ساده ارائه می‌دهد، آنها از دو فایل مختلف بارگذاری به نام adobe.dat و x32bridge.dat استفاده می‌کنند. فایل اجرایی حاصل از این دو پرونده اساساً یکسان هستند و هر دو مسیر PDB یکسانی دارند:
C:\Users\guss\Desktop\Recent Work\U\U_P\KilllSomeOne\۰,۱\Function_hex\hex\Release\hex.pd

در این حملات، کلید رمزگذاری مورد استفاده "HELLO_USA_PRISIDENT" است. از payloads برای استقرار یک نصب کننده و مولفه‌های اضافی برای سایر حملات دانلود جانبی DDL در تعدادی از فهرست‌ها استفاده می‌شود و ویژگی های "پنهان" و "سیستم" برای فایل ها تنظیم می شود.

Sophos اظهار داشت: " installer فایل اجرایی مورد استفاده درمرحله اولیه حمله را می بندد و نمونه جدیدی از explorer.exe را برای دانلود جانبی مولفه DLL آغاز می‌کند که این تلاشی است برای پنهان داشتن فایل اجرایی".

این بدافزار همچنین فرایندهای در حال اجرا را با نام هایی که با "AAM" شروع شده از بین می برد و فایل مربوط به آن را در C: \ ProgramData و C: \ Users \ All Users حذف می کند. هدف از این عمل از بین بردن مکانیزمی برای جلوگیری از چنین آلودگی‌ها است.

قبل از شروع بررسی اطلاعات ، بدافزار اقدامات مختلفی را برای اطمینان از پایداری خود انجام می دهد ، ازجمله ایجاد وظیفه ای که دانلود جانبی را قابل اجرا کند :
schtasks /create /sc minute /mo ۵ /tn LKUFORYOU_۱ /tr

محققان Sophos معتقدند TTP‌های منطبق شده توسط مهاجمان با APT های پیچیده سازگار است.
Sophos نتیجه‌گیری می‌کند: «بر اساس تجزیه‌وتحلیل ما ، مشخص نیست که آیا این گروه به ایمپلنت‌های سنتی مانند PlugX باز می‌گردند یا با کد خود ادامه می دهند.ما به تعقیب آنها برای شناسایی فعالیت‌هایشان و به‌روزرسانی‌هایشان ادامه خواهیم داد.»