KilllSomeOneマルウェア

ミャンマーに拠点を置く非政府組織やその他の組織に対する標的型攻撃のグループがマルウェア研究者によって検出されました。彼らは攻撃の原因となった脅威アクターの正確な身元を特定することはできませんでしたが、中国のAPTグループの関与を示唆する十分な証拠が明らかになりました。

これまでに、有害な操作の一部として4つの異なるシナリオが記録されています。それらはすべて、DLL側の読み込み手法を含み、同様のPDBパス、およびKillSomeOneという名前のフォルダーを参照します。異なる攻撃間のコードと洗練度は、かなりの不一致を示しています。サンプルに隠されたほとんど素人っぽいメッセージを含みながら、コーディングに単純な実装を組み込んだものもあります。ただし、同時に、マルウェアペイロードの操作と展開の高度にターゲットを絞った性質は、深刻なAPT（Advanced Persistent Threat）グループの特性を示しています。

DLLのサイドローディングと脅威のペイロード

DLLサイドローディングの使用は珍しいことではありません。結局のところ、この手法は少なくとも2013年から存在しています。これには、正当なファイルをスプーフィングしている破損したDLLファイルの使用が含まれます。その結果、正当なWindowsプロセスと実行可能ファイルが悪用されて、脅威アクターによってドロップされた破損したコードをロードして実行します。

観測された4つの攻撃波のうち2つでは、ペイロードはGroza_1.datという名前のファイルに保存されていました。これは、最終的なペイロードの復号化、メモリへのロード、および実行を担当するPEローダーシェルコードです。この最終ペイロードは、ポート9999の160.20.147.254IPアドレスでサーバーに接続できる単純なリモートコマンドシェルを運ぶDLLファイルで構成されます。

KillSomeOne DLLサイドローディングの他の2つのシナリオは、大幅に洗練されていました。単純なシェルの代わりに、永続メカニズムを確立し、最終的なペイロードを配信するための環境を準備できる複雑なインストーラーが必要でした。ペイロードファイルは異なりますが（adobe.datとx32bridge.dat）、同じPDBバスを持つほぼ同一の実行可能ファイルを配信しました。