Lopakodó, fileless támadás célpontjai a közelgő amerikai-tajvani védelmi ipari esemény résztvevői
A Cyble Research and Intelligence Labs (CRIL) azonosított egy kampányt, amely a közelgő amerikai-tajvani védelmi ipari konferenciához kapcsolódó személyeket célzott meg. A kampány kezdeti fertőzési vektora továbbra sem világos; az elemzett csalárd dokumentum alapján azonban arra utaló jelek vannak, hogy a támadás spam e-maileken keresztül juthatott el a felhasználókhoz. A támadás egy gyanús archívumfájllal kezdődik, amely egy PDF dokumentumnak álcázott LNK fájlt tartalmaz. A megtévesztés célja, hogy a felhasználókat rávegye a rosszindulatú LNK-fájl futtatására, ami viszont a háttérben egy sor rejtett műveletet indít el.
Az LNK fájl végrehajtásakor két összetevőt von ki: egy base64 kódolású futtatható fájlt és a tényleges csali PDF fájlt. A futtatható állományt a .NET Confuser, egy obfuszkációs eszköz segítségével védik, hogy elkerüljék a felismerést, és az indítómappában helyezik el, hogy biztosítsák a kompromittált rendszeren való fennmaradást. Miután a futtatható fájl lefut, további rosszindulatú tartalmakat, konkrétan egy DLL-fájlt hív le egy távoli kiszolgálóról. Ez a DLL fájl XOR művelet segítségével titkosítva van, hogy tovább obfuszkálja a célját. A futtatható fájl a .NET „Assembly.Load” funkcióját használja a dekódolt DLL fájl közvetlen betöltésére a memóriába, lehetővé téve a hagyományos biztonsági mechanizmusok megkerülését, amelyek a lemezre írt fájlokat vizsgálják. Miután a DLL betöltődött, titkosított C# kódot tölt le a kiberszereplő által ellenőrzött szerverről, lefordítja az áldozat gépén, majd teljes egészében a memóriában hajtja végre.
A betöltő kódjának elemzése arra utal, hogy a hasznos teher végső célja az érzékeny adatok kiszivárogtatása az áldozat gépéről további rosszindulatú tevékenységek végzése céljából. A támadásban használt csali dokumentum alapján valószínűsíthető, hogy a kampány mögött álló kiberszereplő kifejezetten a közelgő amerikai-tajvani védelmi ipari konferenciával kapcsolatban álló személyeket célozza meg.
