KilllSomeOne-Malware verwendet DLL-Side-Loading, um bösartige Implantate zu liefern

Cybersicherheitsexperten haben eine neue Malware namens KilllSomeOne identifiziert. Es wurde bei Angriffen gegen mit der Regierung verbundene Unternehmen und Organisationen in Myanmar eingesetzt. Ein tiefer Einblick in die Infrastruktur und Codebasis der KilllSomeOne-Malware ergab, dass das Implantat wahrscheinlich das Produkt eines in China ansässigen APT-Akteurs (Advanced Persistent Threat) ist. Dies entspricht auch dem Profil der Zielorganisationen.

Die KilllSomeOne-Malware lieferte in der Regel neben der Nutzlast auch zusätzliche Malware. Bei mehreren Gelegenheiten gelang es den Forschern, grundlegende Shells aus infizierten Netzwerken zu retten, während sie in anderen Fällen fortgeschrittenere Malware-Beispiele entdeckten. Bei allen Angriffen hat KilllSomeOne Malware einen DLL-Side-Loading-Trick missbraucht, der seit mindestens 7-8 Jahren von APT-Akteuren angewendet wird. Bis heute ist es eine effiziente Möglichkeit, einige der Standardsicherheitsrichtlinien zu umgehen, die Windows-Systeme verwenden. Die gute Nachricht ist, dass die Verwendung von Antivirensoftware von Drittanbietern normalerweise ausreicht, um solche Angriffe abzuwehren.

Die KilllSomeOne-Malware scheint als Loader / Dropper zu fungieren, der in Kombination mit verschiedenen Malware-Familien verwendet wird, die für APT-Akteure manchmal zu einfach erscheinen. Bisher wurde keine bestimmte Gruppe mit der KilllSomeOne-Malware-Kampagne verknüpft.