KilllSomeOne Malware gebruikt DLL-side-loading om schadelijke implantaten af te leveren

Cybersecurity-experts hebben een nieuw stuk malware geïdentificeerd met de naam KilllSomeOne. Het werd ingezet bij aanvallen op aan de regering gelieerde entiteiten en organisaties in Myanmar. Door diep in de infrastructuur en codebase van de KilllSomeOne Malware te graven, bleek dat het implantaat waarschijnlijk het product is van een in China gevestigde Advanced Persistent Threat (APT) -acteur. Dit sluit ook aan bij het profiel van de beoogde organisaties.

De KilllSomeOne Malware leverde naast zijn payload doorgaans extra malware - bij verschillende gelegenheden slaagden onderzoekers erin om basishells van geïnfecteerde netwerken te redden, terwijl ze in andere gevallen meer geavanceerde malwarevoorbeelden ontdekten. Bij alle aanvallen maakte KilllSomeOne Malware misbruik van een DLL-side-loading-truc, die al minstens 7-8 jaar door APT-acteurs wordt gebruikt. Zelfs tot op de dag van vandaag blijft het een efficiënte manier om een aantal van de standaardbeveiligingsbeleidsregels van Windows-systemen te omzeilen. Het goede nieuws is dat het gebruik van antivirussoftware van derden meestal voldoende is om dergelijke aanvallen te beperken.

De KilllSomeOne Malware lijkt te functioneren als een Loader / Dropper die wordt gebruikt in combinatie met verschillende malwarefamilies die soms te simpel lijken voor APT-actoren. Tot dusver is er geen specifieke groep in verband gebracht met de KilllSomeOne Malware-campagne.