Bookworm malware
A Stately Taurus (Mustang Panda, Bronze President, Camaro Dragon, Earth Preta) APT elsősorban a Délkelet-Ázsiában működik, az ASEAN-hoz tartozó országok szervezeteit célozza meg. A Palo Alto Networks elemzése szerint ez a csoport a Bookworm nevű rosszindulatú programot használja támadásaiban. A Bookworm egy moduláris felépítésű trójai, amelyet először 2015-ben azonosítottak, de egészen mostanáig nem kapcsolták konkrét fenyegetési szereplőhöz. A kutatások infrastrukturális átfedéseket mutattak ki a Stately Taurus tevékenysége és a Bookworm variánsai között, megerősítve, hogy ez a csoport használja a malware-t.
A Stately Taurus gyakran alkalmazza a DLL sideloading technikát rosszindulatú kódjainak végrehajtására. Ez a módszer lehetővé teszi számukra, hogy legitim, aláírt végrehajtható fájlokat használjanak a kártékony DLL-ek betöltésére, így elkerülve a biztonsági rendszerek észlelését. Egy nemrégiben felfedezett támadás során a csoport egy automatizálási szervezet által aláírt legitim végrehajtható fájlt használt, amely a BrMod104.dll nevű rosszindulatú payloadot töltötte be. Ez a payload a PubLoad nevű malware egy variánsa, amely egy stager típusú kártevő. A PubLoad közvetlenül kapcsolódik a parancs- és vezérlőszerverhez (C2), hogy további shellcode-alapú payloadokat szerezzen be.
A PubLoad kommunikációja során HTTP POST kéréseket küld a C2 szervernek, amelyekben a Host mezőben például a www.asia.microsoft.com szerepel, ezzel próbálva legitim Windows operációs rendszerhez kapcsolódó kérésnek álcázni magát.
Az elemzések azt is kimutatták, hogy a Bookworm malware fejlesztése során minimális változtatásokat eszközöltek az eredeti 2015-ös mintákhoz képest. A legfrissebb mintákban a korábban használt Loader.dll és readme.txt fájlok helyett a shellcode-ot UUID paraméterekként ábrázolják, amelyeket a rosszindulatú kód betöltésére használnak.
A Palo Alto Networks megosztott az azonosításhoz szükséges mutatókat.
