В рамках своего исследования специалисты из Zscaler ThreatLabz обнаружили два новых кейлоггера, PAKLOG и CorKLOG, разработанных группой Mustang Panda, а также драйвер для уклонения от EDR, известный как SplatCloak. PAKLOG представляет собой кейлоггер, который группа использует для мониторинга нажатий клавиш и активности буфера обмена, а также применяет схему кодирования символов для защиты от обнаружения.
Описание
CorKLOG, также разработанный Mustang Panda, использует ключ RC4 длиной 48 символов для шифрования перехваченных данных. SplatCloak, развернутый SplatDropper, отключает процедуры, связанные с EDR, реализованные Windows Defender и Kaspersky, и имеет методы обфускации кода для затруднения анализа.
PAKLOG перехватывает нажатия клавиш и мониторит активность буфера обмена, затем кодирует и сохраняет эти данные. PAKLOG распространяется через RAR-архив и использует подписанный легитимный двоичный файл для боковой загрузки вредоносной библиотеки. CorKLOG также перехватывает нажатия клавиш и сохраняет данные в зашифрованном файле с помощью 48-символьного RC4-ключа. Для обеспечения постоянного присутствия в системе, CorKLOG создает службы или запланированные задачи. SplatCloak, драйвер типа ядра, отключает уведомления Windows Defender и Kaspersky, чтобы избежать обнаружения.
PAKLOG и CorKLOG представляют собой простые кейлоггеры, которые обфусцируют лог-файлы для скрытия своей активности. PAKLOG также может мониторить активность буфера обмена и извлекать его содержимое. Оба кейлоггера используют простой механизм кодирования для защиты данных. SplatCloak, в свою очередь, является драйвером, который отключает процедуры, связанные с EDR, и применяет методы обфускации кода для усложнения анализа. Обнаружение этих новых инструментов от Mustang Panda позволяет лучше понять их методы работы и принять меры для защиты систем от атак.
Индикаторы компрометации
MD5
- 3385a945449774d71377d3a08e5d0d43
- 60138b3f2791742dd65bdf29376055e8
- 6c4eb9be8ea20055b88c5b703d41d1d2
- 91f1f4bd673807647126e65ab8fd15ae
- a4eb2d1252b90f4b1d77ed374092a162
- ade40faa90439abdac911ce1ac50e4b9
- cbb7309092862f0999f7a442e17b1ba6
- e0ee591b4a97a9876f4f9e75be3fdd08
- e7552a105efaadfa7fd3b7a5fc7d46bf
- f8e865c9ed99b1e4725f5ccdc3ef0ba7
SHA1
- 2696467025b0d1052d11d3f7bc68c6cb4cb635a5
- 361ad9f8d0b3f248a35e8d570ca58e8e152573cd
- 3e8cb0b1f93da475889dd065ee21261e1b6f6fff
- 5747a2dd63c97f97ee439482dfd4389041043902
- 5a7a1bfa0972a155928d9e0fb95c015fc00eb510
- 7d1bd5191ed9c42ead2fc51400d3a398df0c3f7b
- ae896332d3b40b627f44e6dc038f8c2396ecaf4d
- b2d865e243ea3d642c3a0a2c7d0ea52b79a18ec4
- f6ade6bbdd1828add500aa82505567cf9f21efaf
- f7cc59edd9fa8fd9b0d7d2316d86c348458b8101
SHA256
- 1ffc8bde92758bc0d2ddcc5a6bb78c73b6409429e52d62191f25afa8ebfad84a
- 3938de0ec99cd035899ddd7e793c3aea0de37213b69ab0db64c88f33eba3da5f
- 3a59407db18f575adf956027c8e8af961e1e2ef01d097f6c0a934aeaad45de03
- 3fa4e089bf7bf183d7e746b9eb02b852df5673d7ab39008252e3954fc70d2cba
- 6c01b3d9f7929d8d18747cb6feba416e8702f853a303a63ae37af38e95af79cd
- 6f3a2913a59309c6b4b38040cfb08a4e04404e6f93215fd72dbc52781d99ff29
- 86f6d29ef0532236ad180dcf9a4b0c1ac1f8f2ec9cec7a5b312f4e940df7edce
- 9c61a53b787bb42b12a3a44151ce1348669b4c745d087fb602df2b28d0fd92b5
- befbc4c451721ad8cce0795f82aa0762640644807130bf5d0cba44a1cb194d9c
- d72e2da9043737f816ea66070cede47fc9b012a3a5444cc2fbdf00e683f277f7