KilllSomeOne Malware wykorzystuje ładowanie DLL do dostarczania złośliwych implantów

Eksperci ds. Cyberbezpieczeństwa zidentyfikowali nowy fragment złośliwego oprogramowania o nazwie KilllSomeOne. Był używany w atakach na powiązane z rządem podmioty i organizacje w Mjanmie. Zagłębianie się w infrastrukturę i kod źródłowy KilllSomeOne Malware ujawniło, że implant prawdopodobnie jest produktem chińskiego aktora Advanced Persistent Threat (APT). Jest to również zgodne z profilem organizacji docelowych.

Szkodliwe oprogramowanie KilllSomeOne zazwyczaj dostarczało dodatkowe złośliwe oprogramowanie wraz z ładunkiem - w kilku przypadkach naukowcom udało się uratować podstawowe powłoki z zainfekowanych sieci, podczas gdy w innych przypadkach odkryli bardziej zaawansowane próbki złośliwego oprogramowania. We wszystkich atakach KilllSomeOne Malware nadużyło sztuczki DLL ładującej się po stronie, która była stosowana przez aktorów APT przez co najmniej 7-8 lat. Nawet do dziś pozostaje skutecznym sposobem na ominięcie niektórych domyślnych zasad bezpieczeństwa stosowanych w systemach Windows. Dobra wiadomość jest taka, że do złagodzenia takich ataków zwykle wystarcza oprogramowanie antywirusowe innych firm.

Wydaje się, że KilllSomeOne Malware funkcjonuje jako moduł ładujący / dropper używany w połączeniu z różnymi rodzinami złośliwego oprogramowania, które czasami wydają się zbyt proste dla aktorów APT. Jak dotąd żadna konkretna grupa nie została powiązana z kampanią KilllSomeOne Malware.