APT-C-24 („Sidewinder”) új LNK-alapú adathalász kampánya Dél-Ázsiában

Editors' Pick
Yanac , , , , , , , , , , , ,

A 2012 óta aktív, dél-ázsiai célpontokra (többek közt Pakisztán, Afganisztán, Nepál, Bhután, Mianmar) specializálódott APT-C-24 csoport (Sidewinder) új, LNK fájlokra épülő adathalász kampányt folytat. A 360 Advanced Threat Research nagy számban azonosított olyan ZIP csomagokat, amelyek három, dupla kiterjesztésű LNK fájlt (file 1/2/3.docx.lnk) tartalmaznak. A kattintás után az mshta.exe távoli URL-en lévő, erősen obfuszkált szkripteket futtat (jellemzően yui=0/1/2 paraméterrel), amelyek végül memóriában töltik be a vezérlő komponenseket, lehetővé téve a célrendszer távoli irányítását.

A kezdeti HTML/JS szkript két feladatot végez: egy álca-dokumentumot ír a %TEMP% könyvtárba (dekódolását későbbi C# komponens intézi), valamint környezetellenőrzést hajt végre. WMI-n keresztül lekérdezi a processzormagok számát (≥2 szükséges) és a fizikai memória méretét (>810 MB); csak ezek teljesülése esetén történik .NET deszerializációval a következő fázis betöltése. A memóriába töltött C# letöltő (erősen obfuszkált) antivírus-folyamatokat (pl. Kaspersky, ESET) keres, ezekről információt illeszt paraméterként a C2-URL-hez, megnyitja az álca-dokumentumot a felhasználó megtévesztésére, majd XOR-ral dekódolt, távolról lehívott kódot tölt be reflektív módon. A C2 infrastruktúra gyorsan rotál és célfelismerést alkalmaz, ezért a következő fázisú payloadot nem sikerült megszereznie a kutatóknak.

Az attribúciót több, korábbi mintákkal egyező jegy támasztja alá: a három LNK-t tartalmazó ZIP-ek, az URL-ek végén használt q=0/1/2, majd yui=0/1/2 mintázat, a payloadok elnevezéseinek és obfuszkációjának hasonlósága, azonos dekódolási séma (első 32 bájtos XOR-kulcs), valamint a mail163cn.info aldomainjei (közös IP-re mutatva). A kampány a csoport eszköztárának frissítését jelzi (a korábbi Office-sebezhetőségek helyett LNK+MSHTA lánc), ami növeli a felderítés megkerülésének esélyét és különösen a kormányzati, energetikai, katonai és bányászati szektor szervezetei számára jelent fokozott kockázatot.

(forrás)

You May Also Like

Új átverés: MI által generált hangon megszólaló házastársak

Yanac

Kifinomult adathalászat

Geronimo

Adathalászat a NAV nevében szerb domain-ekről

TrainedR