Недавний анализ вредоносного ISO-образа, обнаруженного на сайте VirusTotal и загруженного из Тайваня, подтвердил причастность к кибершпионской группе Ocean Lotus (APT32). Этот образ содержит сложный вредоносный комплекс, использующий многоступенчатые техники инфицирования и уклонения от обнаружения, что подчеркивает растущие угрозы для кибербезопасности в глобальном масштабе.
Структура вредоносного комплекса
ISO-файл с хэшем ced7fe9c5ec508216e6dd9a59d2d5193a58bdbac5f41a38ea97dd5c7fceef7a5 включает в себя пользовательскую DLL-библиотеку Transforms.dll, реализующую две экспортируемые функции: LogSetupBeforeInstall и LogSetupAfterInstall. Эти функции участвуют в процессе загрузки и исполнения вредоносного кода при запуске установщика WindowsPCHealthCheckSetup.msi.
Процесс запуска происходит через законный исполняемый файл PcHealthCheck.exe, который вместе с вредоносной динамической библиотекой tbs.dll (расположенной в папке данных локального приложения пользователя) инициализирует заражение путём техники боковой загрузки DLL (DLL sideloading).
Механизмы заражения и эксплуатации
- Перехват функций: вредоносная библиотека перехватывает системную функцию RtlUserThreads (социальная сеть, принадлежащая запрещённой в России и признанной экстремистской американской корпорации Meta)tart с помощью модулей ntdll.dll и kernel32.dll.
- Манипуляция контекстом потока: выполняется перенаправление исполнения на вредоносный код путём изменения контекста потока.
- Использование функции-трамплина: критическая функция fn_pload_load сначала активирует вредоносную логику, а затем вызывает оригинальный RtlUserThreadStart.
В ходе работы вызывается функция fn_pload_decrypt_dll_patch, использующая уникальный 32-байтовый ключ для расшифровки двоичного объекта с шеллкодом, сжатого по алгоритму LZMA (Lempel-Ziv-Markov).
Расшифровка и выполнение шеллкода
После расшифровки шеллкод анализирует память, выявляет и исправляет допустимые экземпляры библиотеки xpsservices.dll для дальнейшего выполнения своих сегментов. Для обеспечения возможности исполнения вредоносного кода происходит изменение прав на память с помощью системного вызова ZwProtectVirtualMemory, предоставляющего права на выполнение.
Следующий этап атаки задействует дополнительный шеллкод, также сжатый методом LZMA. Он распаковывает и исполняет полезную нагрузку, написанную на Rust, включающую библиотеку libcurl. Эта вредоносная нагрузка связывается с командным сервером по адресу:
http://194.87.108.94:80/users/b97fc88c-cff5-4433-a784-df2a5e094452/profile/information
Для маскировки коммуникаций злоумышленники используют поддельный User-Agent, имитирующий Android-устройство Huawei, что позволяет замаскировать трафик под запросы мобильного браузера.
Выводы и рекомендации
Анализ данного вредоносного ISO-образа демонстрирует глубину и сложность современных APT-атак, связанных с Ocean Lotus. Использование техники DLL sideloading, многоэтапного расшифровывания и исполнения кода, а также продвинутых методов обфускации трафика указывает на высокий уровень подготовки злоумышленников.
Это подтверждает необходимость постоянного и тщательного мониторинга поведения процессов и сетевого трафика, а также актуализации антивирусных баз данных и внедрения средств обнаружения аномалий, которые способны выявлять подобные сложные атаки на ранних стадиях.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Анализ вредоносного ISO Ocean Lotus: сложная атака через DLL-загрузку".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.