کمیته رکن چهارم – یک گروه چینی که با عنوان KilllSomeOne ردیابی میشود توسط محققان در Sophos ردیابی شد.
این گروه جاسوسی سایبری پیشرفته با حملات جانبی DLL سازمانهای شرکتی در میانمار را هدف قرار داده است.
گروه KilllSomeOne از عبارت KilllSomeOne در حملات دانلود جانبی DLL و از پیامهای انگلیسی ضعیف مربوط به موضوعات سیاسی استفاده میکند. دانلود جانبی کتابخانه (DLL) از شیوه مدیریت فایلهای DLL توسط برنامههای Microsoft Windows بهره میبرد. در چنین حملاتی، بدافزار یک فایل مخرب جعلی DLL را در فهرست Windows WinSxS قرار میدهد تا سیستم عامل آن را به جای فایل قانونی دانلود کند.
این روش قبلاً از سال ۲۰۱۳ توسط سایر گروههای APT چینی مورد استفاده قرار گرفته بود و بعدها توسط سایر باندهای جرایم اینترنتی در حملات wild نیز مورد استفاده قرار گرفت.
طبق گفته محققان Sophos، گروه KilllSomeOne APT چهار نوع جداگانه از حمله دانلود جانبی را ترکیب می کنند. گزارش آنالیز Sophos می گوید: «ما چهار سناریوی مختلف دانلود جانبی را شناسایی کرده ایم که توسط همان عوامل تهدیدکننده استفاده شده است. دو سناریو از میان آنها، محموله ای همراه با پوسته ساده را تحویل دادند، در حالی که دو مورد دیگر مجموعه پیچیده تری از بدافزارها را به همراه داشتند. از ترکیبات هر دوی این مجموعه در حملات مشابه استفاده شده است.»
هر نوع حمله توسط همان پایگاه داده به برنامه (PDB) متصل می شود و برخی از نمونههای ثبت شده به مجرمان سایبری که حاوی نام KilllSomeOne هستند، متصل شدهاند.
در سناریوی حمله اول، هکرها از یک مولفه آنتیویروس مایکروسافت برای دانلود mpsvc.dll استفاده می کنند که به عنوان یک loader برای Groza_۱.dat عمل می کند. مهاجمان از یک الگوریتم رمزگذاری ساده XOR با رشته «Hapenexx بسیار بد است» بهعنوان یک کلید واژه استفاده میکنند.
در سناریوی حمله دوم ، هکرها نمونهای را به کار میگیرند که از AUG.exe استفاده می کند، یک loader به نام dismcore.dll. گروه APT از همان payload و کلید سناریوی قبلی استفاده میکند، تنها تفاوت در این است که هم نام فایل و هم کلید رمزگشایی با یک الگوریتم XOR یک بایت رمزگذاری شدهاند. «در هر دو مورد ، payload در فایلی با نام Groza_۱.dat ذخیره می شود. محتوای آن فایل PE loader shellcode است، که بار نهایی را رمزگشایی میکند، در حافظه دانلود می شود و آن را اجرا می کند. اولین لایه loader code شامل رشته استفاده نشده است: AmericanUSA.»
دو نوع مشاهده شده دیگر دانلود جانبی KillSomeOne DLL یک نصب کننده برای پوسته ساده ارائه میدهد، آنها از دو فایل مختلف بارگذاری به نام adobe.dat و x32bridge.dat استفاده میکنند. فایل اجرایی حاصل از این دو پرونده اساساً یکسان هستند و هر دو مسیر PDB یکسانی دارند:
C:\Users\guss\Desktop\Recent Work\U\U_P\KilllSomeOne\۰,۱\Function_hex\hex\Release\hex.pd
در این حملات، کلید رمزگذاری مورد استفاده “HELLO_USA_PRISIDENT” است. از payloads برای استقرار یک نصب کننده و مولفههای اضافی برای سایر حملات دانلود جانبی DDL در تعدادی از فهرستها استفاده میشود و ویژگی های “پنهان” و “سیستم” برای فایل ها تنظیم می شود.
Sophos اظهار داشت: ” installer فایل اجرایی مورد استفاده درمرحله اولیه حمله را می بندد و نمونه جدیدی از explorer.exe را برای دانلود جانبی مولفه DLL آغاز میکند که این تلاشی است برای پنهان داشتن فایل اجرایی”.
این بدافزار همچنین فرایندهای در حال اجرا را با نام هایی که با “AAM” شروع شده از بین می برد و فایل مربوط به آن را در C: \ ProgramData و C: \ Users \ All Users حذف می کند. هدف از این عمل از بین بردن مکانیزمی برای جلوگیری از چنین آلودگیها است.
قبل از شروع بررسی اطلاعات ، بدافزار اقدامات مختلفی را برای اطمینان از پایداری خود انجام می دهد ، ازجمله ایجاد وظیفه ای که دانلود جانبی را قابل اجرا کند :
schtasks /create /sc minute /mo ۵ /tn LKUFORYOU_۱ /tr
محققان Sophos معتقدند TTPهای منطبق شده توسط مهاجمان با APT های پیچیده سازگار است.
Sophos نتیجهگیری میکند: «بر اساس تجزیهوتحلیل ما ، مشخص نیست که آیا این گروه به ایمپلنتهای سنتی مانند PlugX باز میگردند یا با کد خود ادامه می دهند.ما به تعقیب آنها برای شناسایی فعالیتهایشان و بهروزرسانیهایشان ادامه خواهیم داد.»
منبع : مرکز مدیریت راهبردی افتا
