Een nieuw stuk van, wat lijkt te zijn, zeer gerichte malware is ontdekt door onderzoekers van AlienVault. De nieuwe malware stam, nagesynchroniseerde GzipDe en waarschijnlijk wordt gebruikt in cyberspionage campagnes, maakt gebruik van een artikel over de komende Shanghai Cooperation Organization top.
Meer over de GzipDe Malware Operation
Ongeveer een week geleden, onderzoekers ontdekte een nieuwe kwaadaardige document gericht op deze regio. Blijkbaar, het document is een stuk tekst uit het rapport als een decoy opgenomen.
AlienVault ontdekte een booby-traps Word-document op VirusTotal die door een gebruiker werd gepubliceerd uit Afghanistan. Dit is hoe ze opgegraven de malware.
De bovengenoemde booby-traps document (.doc file) is de eerste stap van een meerstaps infectie waarin meerdere servers en artefacten worden ingezet. De laatste fase van de schadelijke werking lijkt de installatie van een Metasploit backdoor zijn. Echter, dit is niet zo interessant als de .NET downloader, die gebruik maakt van een aangepaste coderingsmethode te procesgeheugen verdoezelen en onttrekken antivirusdetectie.
De kwaadaardige document misleid gebruikers in waardoor macro's, die ooit ingeschakeld voerde een Visual Basic-script. Dan is de script liep een aantal PowerShell-code, die vervolgens gedownload een PE32 executable. Het proces eindigde met de werkelijke malware - GZipDe - de onderzoekers gerapporteerd.
GZipDe lijkt te worden gecodeerd in .NET, en het is ontworpen om te gebruiken “een aangepaste coderingsmethode te procesgeheugen verdoezelen en onttrekken antivirusdetectie.” Aangezien het oorspronkelijke doel van GzipDe is om als downloader, betekent dit dat de malware een gevaarlijker stuk zal downloaden van een server op afstand. Echter, Tijdens het onderzoek van de onderzoekers, de externe server was dan hetgeen gewoonlijk de analyse eindigen. Echter, het bleek Shodan, het Internet of Things zoekmachine, geïndexeerd de server en zelfs nam het op het bedienen van een Metasploit payload.
De server, 175.194.42[.]8, levert Metasploit payload. Bevat commandoregelcode te omzeilen systeemopsporing (omdat het lijkt om een geldige DOS-header) en een Meterpreter payload – een bekwaam achterdeur. Bijvoorbeeld, kan het verzamelen van informatie uit het systeem en contact opnemen met de command and control-server om verdere opdrachten te ontvangen.
Bovendien, de commandoregelcode laadt de hele DLL in het geheugen, waardoor het aan te bedienen terwijl er geen informatie in de schijf wordt geschreven. Deze handeling is bekend als Reflective DLL injectie. Vanaf dit punt, de aanvaller kan geen andere lading overdragen om meer bevoegdheden verwerven en zich binnen het lokale netwerk, concludeerden de onderzoekers.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: