Недавно компания SentinelLabs обнаружила активность, направленную на телекоммуникационный сектор в Центральной Азии, используя инструменты и TTP, обычно ассоциируемые с китайскими APT-акторами. Угрожающий субъект систематически использовал программное обеспечение, распространяемое поставщиками систем безопасности, для боковой загрузки вариантов ShadowPad и PlugX. Часть активности частично пересекается с группами угроз, отслеживаемыми другими производителями, такими как RedFoxtrot и Nomad Panda. Они регистрируют этот кластер активности как "Moshen Dragon".
Moshen Dragon
Участники Moshen Dragon систематически злоупотребляли защитным программным обеспечением для выполнения перехвата порядка поиска DLL. Перехваченная DLL, в свою очередь, используется для расшифровки и загрузки конечной полезной нагрузки, хранящейся в третьем файле, расположенном в той же папке.
Способ развертывания полезной нагрузки, а также другие действия в целевых сетях позволяют предположить, что Moshen Dragon использует IMPACKET для латерального перемещения. После выполнения некоторые полезные нагрузки становятся устойчивыми, создавая запланированную задачу или службу.
Поскольку основная часть деятельности Moshen Dragon была выявлена и заблокирована, последовательно развертывал новые вредоносные программы, используя пять различных продуктов безопасности для загрузки вариантов PlugX и ShadowPad.
Краткая информация о взломанном программном обеспечении представлена ниже:
Symantec SNAC | C:\Windows\AppPatch, C:\ProgramData\SymantecSNAC, C:\ProgramData\Symantec\SNAC, C:\Windows\Temp |
TrendMicro Platinum Watch Dog | C:\Windows\ AppPatch |
BitDefender SSL Proxy Tool | C:\ProgramData\Microsoft\Windows, C:\ProgramData\Microsoft\Windows\LfSvc, C:\ProgramData\Microsoft\Windows\WinMSIPC, C:\ProgramData\Microsoft\Windows\ClipSVC, C:\ProgramData\Microsoft\Wlansvc, C:\ProgramData\Microsoft\Windows\Ringtones |
McAfee Agent | C:\ProgramData\McAfee, C:\ProgramData\Microsoft\WwanSvc, C:\ProgramData\Microsoft\WinMSIPC |
Kaspersky Anti-Virus Launcher | C:\ProgramData\Microsoft\XboxLive, C:\programdata\GoogleUpdate |
Indicator of Compromise
Domains
- dhsg123.jkub.com
- final.staticd.dynamic-dns.net
- freewula.strangled.net
- gfsg.chickenkiller.com
- greenhugeman.dns04.com
- pic.farisrezky.com
- szuunet.strangled.net
SHA1
- 2294ecbbb065c517bd0e01f3f01aabd0a0402f5a
- 308ed56dc1fbc98b574f937d4b005190c878416f
- 3c6a51961aa328ba507796153234309a5e83bee3
- 4025e14a7f8928753ba06ad155944624069497dc
- 55e89f458b5f5642300dd7c50b444232e37c3fa7
- b6c6c292cbd35298a5f055448177bcfd5d0b23bf
- b85880ba6d38164dde4e77a15ab5e65cde7e357a
- bb68816f324f2ac4f0d4756b66af67d01c8b6e4e
- c4f1177f68676b770934b142f9c3e2c4eff7f164
- e9e8c2e720f5179ff1c0ac30ce017224ac0b2f1b
- ef3e558ecb313a74eeafca3f99b7d4e038e11516
- f5b8ab4a7d9c723c2b3b842b49f66da2e1697ce0
- fae572ad1beab78e293f756fd53cf71963fdb1bd