Фреймворк IMEEX - это недавно обнаруженная вредоносная программа для атак на системы Windows. Он представляет собой 64-битную DLL и предоставляет злоумышленникам широкий спектр возможностей для контроля за компрометированными машинами.
IMEEX Framework
Фреймворк позволяет выполнение дополнительных модулей, работу с файлами, управление процессами, модификацию реестра и удаленное выполнение команд. Он также собирает информацию о системе и передает ее на свой командно-контрольный сервер. IMEEX в основном нацелен на Джибути и Афганистан, хотя мы предполагаем, что есть возможность его использования и в других странах. Фреймворк IMEEX, вероятно, является частью организованной атакующей кампании, использующей передовые методы для избежания обнаружения.
Интересно, что есть признаки связи с платформой ShadowPad, которая используется несколькими китайскими группами угроз. Возможно, IMEEX является эволюцией тактики этих групп, поскольку оба используют модульный подход и имеют схожую инфраструктуру. Цель этого блога - детальный технический анализ фреймворка IMEEX, включая его функциональные возможности и способы маскировки под легитимные процессы.
Анализ образцов IMEEX показывает, что они были отправлены на VirusTotal из Джибути и Афганистана. На основании этого можно предположить, что IMEEX нацелен на эти регионы. Вредоносная программа маскируется под легитимные процессы, такие как svchost.exe или rundll32.exe, чтобы избежать обнаружения. Она также использует шифрование и защиту данных для связи с командно-контрольным сервером. IMEEX поддерживает операции с файлами, процессами и реестром, а также имеет модульную структуру, которая позволяет ему загружать и выполнять компоненты по требованию. Программа также обладает стойкостью и способностью скрывать свою присутствие на системе.
Изучая образцы фреймворка IMEEX, мы обнаружили, что они похожи друг на друга, с небольшими различиями в именах мьютексов и командно-контрольных доменах. Это указывает на то, что образцы, полученные из Джибути, представляют собой варианты, развернутые в рамках одной кампании. Также была обнаружена версия IMEEX из Афганистана со схожими функциональными возможностями. Общая кодовая база и присутствие подобных образцов могут указывать на стратегический поворот от ShadowPad к IMEEX, хотя точное связывание кампании с конкретной группой пока не возможно.
Indicators of Compromise
IPv4
- 45.141.139.146
IPv4 Port Combinations
- 45.141.139.146:443
Domains
- bbsnews.sytes.net
- erkinhorshiden.onedumb.com
- yurtumawat.wwwhost.us
Domain Port Combinations
- bbsnews.sytes.net:443
- erkinhorshiden.onedumb.com:443
- yurtumawat.wwwhost.us:443
SHA256
- 3e25798da0232d9039e570fb34d4bdccf7f082fa38b486a097d954f5f3debab3
- 6fcd206752cd87c26909ed3751b94eb8ef14cd1567d3757cae7fa0b89d3f77c7
- 7a3113d3212605a33924ad16ab360b7d48cc94de0de1c1cf9dc44695d4a01648
- 7d02ad54e4e56f34e59414f9b02397901fc61bb1158a31ab2586fe62564aeb93
- 94b8a01ad4b53d202984afb6781d7f88cb5cd329349791516e985ea88e08ad66