Исследователи из компании Intezer опубликовали отчет, в котором подробно описали фреймворк IMEEX - сложное пользовательское вредоносное ПО, предназначенное для систем Windows.
IMEEX framework
Фреймворк IMEEX обладает целым рядом функциональных возможностей, таких как удаленное выполнение команд, манипулирование файлами, управление процессами и модификация реестра. Поставляемый в виде 64-битной DLL, он позволяет злоумышленникам полностью контролировать взломанные машины, а его разведывательные возможности позволяют собирать критическую системную информацию, которая отправляется на командно-контрольный (C2) сервер. Возможности IMEEX делают его мощным инструментом для удаленного управления системой, используя модульный подход, который позволяет ему загружать и выполнять компоненты по требованию, что повышает его гибкость.
IMEEX был выявлен в основном в Джибути, а менее мощный вариант был замечен в Афганистане. Однако, по оценкам Intezer, кампания, скорее всего, не ограничивается только этими странами. Вредоносная программа разработана для скрытности, она смешивается с легитимными системными процессами, такими как svchost.exe, и использует зашифрованную связь, чтобы избежать обнаружения. Она использует различные техники сохранения, такие как модификация ключей реестра и использование мьютексов для предотвращения появления множества экземпляров.
Примечательно, что наблюдаемая кампания IMEEX использует инфраструктуру, ранее замеченную в распространении ShadowPad, модульной платформы вредоносного ПО, используемой китайскими злоумышленниками, что указывает на возможную связь между этими кампаниями. Однако на данный момент Intezer не может с уверенностью отнести эту активность к таковым.
Intezer отмечает, что IMEEX был развернут в основном в регионах, имеющих геополитическое значение, причем Джибути и Афганистан являются ключевыми районами из-за их стратегической важности для мировой торговли и безопасности. По мнению компании, интересы Китая в обеих странах указывают на возможность использования вредоносного ПО, подобного IMEEX, в качестве инструмента для шпионажа и сохранения влияния без прямого конфликта.
Indicators of Compromise
IPv4
- 45.141.139.146
Domains
- bbsnews.sytes.net
- erkinhorshiden.onedumb.com
- yurtumawat.wwwhost.us