Команда Cybereason Security Services Team раскрыла сложные возможности инструментов Cuckoo Spear, NOOPLDR и NOOPDOOR.
Cuckoo Spear Campaign
Варианты NOOPLDR, включая NOOPLDR-DLL и NOOPLDR-C#, устанавливают постоянство, регистрируясь в качестве служб и внедряя шелл-код в системные процессы. NOOPLDR-DLL использует обфускацию кода, динамические пользовательские системные вызовы и модифицированные легитимные DLL, чтобы избежать обнаружения, а NOOPLDR-C# применяет сильную обфускацию, затягивание времени и выполняет код C# из XML-файлов с помощью msbuild.exe.
Оба загрузчика извлекают и расшифровывают шелл-код из реестра или файла .dat, используя шифрование AES с ключами, полученными из уникальных идентификаторов машины. Вредоносная программа NOOPDOOR, связанная с NOOPLDR, имеет клиентский и серверный компоненты, предназначенные для скрытности и стойкости. Клиентская часть включает в себя хеширование API, защиту от отладки, алгоритм генерации доменов (DGA) и собственный TCP-протокол для утечки данных. Серверная сторона способна изменять правила брандмауэра и выполнять команды для поворота сети.
Кампания имеет связи с известной группой APT10, демонстрируя четкую связь между несколькими инцидентами и раскрывая новые инструменты и стратегии, используемые злоумышленниками. Cuckoo Spear в основном нацеливалась на японские компании в производственном, политическом и промышленном секторах, а ее основной целью был кибершпионаж.
Indicators of Compromise
Domains
- 3utilities.com
- foeake.org
- inbullar.com
- mangoaiml.com
- ocouomors.com
- onthewifi.com
- paunsonaz.com
- redirectme.net
- saraosting.com
- serveblog.net
- temmans.com
- torefrog.com
MD5
- 0dbaff93ec6243035275364d5c1c26c9
- 3b07fbaa8b9c5a53658abe3ac9f66e60
- 4f1c68d2fe3b0255e706e4c7de0a739f
- 6b3148e824fd84f54592fe5d2e766740
- 73a904ba602e1bf068f5d217403fa41f
- 9eef43edc87ab1f301ec8730113535ee
- b5228638d5de18e59ebbddc13c120879
- c39b02c9771c6be9610977408ebb509f
- c76b1ed6d094edbad887f68093ef6bf9
- d6d59b1ff85bf971286782f8f43d6326
- deedb32bf51dc8f3399614c8a9718e75
- e0a8048c7f69da35bbb2cd35d86c2dc8
- ea474e87f23ce6575057e76108665ffb
- f12873d8b69624d972b3c6fa55e52483
- fe36fd0f09aadd3e7ddd7b66f18d5e93