GuLoader IOCs - Part 4

security IOC

GuLoader - это продвинутый загрузчик шеллкода, печально известный тем, что использует уловки анти-анализа для уклонения от обнаружения и препятствия обратной разработке. На данный момент кампания по борьбе с GuLoader активно продолжается. Клиенты компании Trellix, работающие в сфере электронной коммерции и расположенные в Южной Корее и Соединенных Штатах, подверглись серьезной атаке со стороны операторов GuLoader.

GuLoader

NSIS - это система с открытым исходным кодом, используемая для разработки программ установки Windows. Ниже перечислены некоторые из ее замечательных возможностей.

  • Основана на сценариях и совершенно бесплатна для любого использования
  • Вредоносный код и исполняемые файлы могут быть упакованы вместе с легитимными установщиками
  • Может напрямую вызывать API Windows, и уже доступны плагины для загрузки модулей .NET, MSSQL и других
  • Подобно VBA, JavaScript и другим вредоносным программам на основе сценариев, обфускация может применяться для обхода детектирования статическими сигнатурами

Скомпилированный исполняемый файл NSIS можно определить с помощью шестнадцатеричного редактора. Раздел .ndata должен существовать, а строка "Nullsoft Inst" должна быть расположена по смещению 8 от оверлея. Для идентификации исполняемых файлов NSIS можно также использовать детекторы компиляторов и упаковщиков, такие как PEiD и DIE (Detect it Easy).

В ноябре 2021 года, еще до того, как угрожающие лица начали использовать исполняемые файлы NSIS, Trellix получила zip-файл 703254254bf23f72b26f54a936cda496. В zip-файле содержится документ Word с макросом. Макрос создает ярлык LNK и VBS-скрипт. VBS-скрипт создает PE-файл, а затем PE-файл загружает шеллкод GuLoader для загрузки полезной нагрузки.

В 2022 году субъекты угроз перешли к использованию исполняемых файлов NSIS для загрузки шеллкода GuLoader. Например, исполняемый файл NSIS встраивается в zip-файл, а электронное письмо заманивает пользователя открыть выписку по счету (рис. 5). В другом варианте исполняемый файл NSIS встраивается в ISO-образ и выдает себя за запрос на предложение о продаже продукции.

Встраивание вредоносных исполняемых файлов в архивы и изображения может помочь субъектам угроз избежать обнаружения. Варианты архивов и изображений, используемых для встраивания исполняемых файлов NSIS, которые мы наблюдали в 2022 году.

В первые две недели декабря 2022 года Trellix обнаружил не менее 5 000 событий, связанных с вложениями электронной почты GuLoader. Целью атаки стали как минимум 15 клиентов Trellix в 13 странах в 10 отраслях.

В ноябре 2022 года компания Trellix получила NSIS-файл ff091158eec27558905a598dee86c043. Извлеченный из этого файла шеллкод GuLoader использует процедуру расшифровки XOR, которая была неизменной во всех версиях в течение года. В старых образцах с февраля по сентябрь 2022 года зашифрованные строки располагались по определенным смещениям в шеллкоде GuLoader. Вычисление, конкатенация зашифрованных строк перед расшифровкой строк не производились. Зашифрованные данные и длина зашифрованных данных просто копировались из определенного места и передавались в функцию расшифровки.

Шелл-код GuLoader из ff091158eec27558905a598dee86c043 вводил новое обновление, конкатенируя буфер зашифрованных данных. Длина зашифрованных данных и зашифрованные данные вычисляются для каждого DWORD во время выполнения с помощью специальных рандомизированных математических операций

В целом, код загрузчика NSIS и шелл-код GuLoader были простыми в феврале 2022 года. К концу года сценарий NSIS стал более обфусцированным, а самым последним изменением стало вычисление и конкатенация зашифрованных данных в шелл-коде GuLoader. Миграция шеллкода GuLoader в исполняемые файлы NSIS является ярким примером, демонстрирующим творческий подход и упорство субъектов угроз в попытках обойти обнаружение, предотвратить анализ в песочнице и воспрепятствовать обратному инжинирингу.

Indicators of Compromise

URLs

  • http://146.70.79.13/GPUARDJZecPp13.smi
  • http://193.239.86.180/build_CMxTGk211.bin
  • http://37.120.222.192/texas_TYBnb22.bin
  • http://45.137.117.184/hvntfVSKcCQt84.dsp
  • http://91.245.255.55/java_agent_sZOCrs225.bin
  • http://jmariecompany.com/kOrg_sIhYtzsF95.bin
  • http://linkedindianer.com/infoo_UXXITSZ73.bin
  • http://posadalaprotegida.com.ar/EbiCBZqpSxRr192.msi
  • http://www.aortistf.tk/MAKS_rOOOVChP166.bin
  • https://drive.google.com/uc?export=download&id=1ansa1ONnGoAMkTEB_Wbp1HpGzRPmLHCq
  • https://drive.google.com/uc?export=download&id=1bR29icPd_54Rzhuz9C80B1EpULuWDlVt
  • https://drive.google.com/uc?export=download&id=1ffapdpLWKae2MES2ltCw9RdNejEAZDAQ
  • https://drive.google.com/uc?export=download&id=1YScc0lvOAwwaCDu5uuYbn6tWSsZGxlEM
  • https://staninnovationgroupllc.com/MYFORMBOOK_eyHVNu169.bin

MD5

  • 1349db7fd7aaa4a1547cd4381cd7a9b1
  • 22b82f46f0ff7c7a1b375aa84867d277
  • 703254254bf23f72b26f54a936cda496
  • a5bb4f5bacfabb9c81035fec65a84012
  • aa074c005a4b2e89dedd45bd9d869881
  • b53d5a3078e3d1cae1cf8f150987eb7f
  • bd8d50eacc2cb7c6759fa5a62791e8d0
  • bffd0312e6151472c32be6dea6897b50
  • c691bc9cb2682c023351aa7460242eb9
  • d31f6ec6a53b1a2659d4697b72900dac
  • f5e9499818bb35be1d5b670b833216bf
  • ff091158eec27558905a598dee86c043
SEC-1275-1
Добавить комментарий