Istraživači sigurnosti u Jedinici 42 kompanije Palo Alto Networks otkrili su ponovno pojavljivanje modularnog malicioznog softvera Bookworm u sajber napadima usmjerenim na vladine i diplomatske entitete širom jugoistočne Azije.
Aktivnost, koja se pripisuje kineskom državnom hakeru Stately Taurus (također praćen kao Mustang Panda), pokazuje kontinuiranu evoluciju grupe decenijama starih alata za špijunažu uparenih s novim metodama isporuke.
Kampanja koristi renoviranu verziju Bookworma, trojanca koji je prvi put dokumentiran 2015. godine, koji sada uključuje korisna opterećenja zasnovana na shellcode-u dostavljena putem malicioznih arhivskih datoteka.
Analitičari u jedinici 42 kompanije Palo Alto Networks otkrili su da ove datoteke, često maskirane u dokumente o politici ili planove sastanaka („analiza trećeg sastanka ndsc.zip”), koriste učitavač pod nazivom PubLoad koji oponaša promet Microsoft Windows Update kako bi zaobišli detekciju mreže.
Bookworm-ov mehanizam isporuke
Najnovija varijanta Bookworma koristi višestepeni proces izvršavanja shellcodea dizajniran da izbjegne statičku analizu.
Napadači ugrađuju shellcode u univerzalne jedinstvene identifikatore (UUID) pohranjene ili kao obični ASCII nizovi ili blobovi kodirani Base64.
Tokom izvršavanja, maliciozni softver pretvara ove UUID-ove u binarni shellcode koristeći Windows API funkciju UuidFromStringA, dodjeljuje memoriju putem HeapCreatei izvršava učitavanje putem funkcija povratnog poziva legitimnih API-ja poput EnumChildWindowsili EnumSystemLanguageGroupsA.
Ova tehnika, prilagođena iz javno dostupnog koda za eksploataciju, omogućava fleksibilnost vremena rada uz izbjegavanje otkrivanja zasnovanog na potpisu.
// Pseudo-code of shellcode execution flow (simplified):
LPVOID buffer = HeapAlloc(heap, HEAP_ZERO_MEMORY, size);
UuidFromStringA((char*)uuid_str, (UUID*)buffer);
EnumChildWindows(NULL, (WNDENUMPROC)buffer, 0); // Triggers shellcode execution Infrastruktura za naredbu i kontrolu (C2) malicioznog softvera koristi HTTPS POST zahtjeve za domene kao što je www.fjke5oe[.]com, maskirajući se u Microsoft-ove servere za ažuriranje.
Uzorak zahtjeva (Slika 1) prikazuje URL putanju /v11/2/windowsupdate/redir/v6-winsp1-wuredir— suptilno odstupanje od legitimnih krajnjih tačaka Windows Update/v6-win7sp1-wuredir.cab kao što je .
Ova domena je razriješena na IP 103.27.202[.]68, koji je prethodno bio hosting C2 servera za ToneShell, još jedan backdoor povezan sa Stately Taurusom.
Savremeni Bookworm uzorci zadržavaju osnovnu modularnu arhitekturu primijećenu u ranijim verzijama, ali sa kritičnim ažuriranjima.
Modul Leader.dll sada dinamički inicijalizira komponente kao što su Resolver.dll (preimenovan u dafdsafdsaa3) i AES.dll (nepromijenjen), dok su zastarjeli moduli kao što je Mover.dll zamijenjeni premještanjem korisnog opterećenja zasnovanog na hrpi.
Putevi za otklanjanje grešaka kao što je C:\Users\hack\Documents\WhiteFile\LTDIS13n\Release\LTDIS13n.pdbdirektno povezivanje malicioznog softvera sa Stately Taurus programerima, preslikavajući artefakte pronađene u ToneShell varijantama.
Jedinica 42 naglašava geopolitički značaj jugoistočne Azije kao glavnog pokretača ovih napada, posebno usmjerenih na entitete povezane s ASEAN-om.
.webp)
Palo Alto Networks preporučuje implementaciju alata za bihevioralno analitiku kao što je Cortex XDR za otkrivanje pokretača shellcode-a baziranih na API-ju i praćenje anomalnih HTTP obrazaca koji liče na Microsoftove usluge .
Kako regionalne tenzije eskaliraju, sposobnost Stately Taurus-a da modernizuje naslijeđeni maliciozni softver poput Bookworm-a naglašava stalnu prijetnju vladinim mrežama širom svijeta koju predstavljaju protivnici koje sponzoriše država.
Sigurnosni timovi moraju dati prioritet otkrivanju anomalija u korištenju API-ja i mrežnom prometu kako bi se suprotstavili ovim adaptivnim taktikama.
Izvor: CyberSecurityNews