KilllSomeOne Malware использует боковую загрузку DLL для доставки вредоносных имплантатов
Эксперты по кибербезопасности выявили новое вредоносное ПО, получившее название KilllSomeOne. Он использовался в нападениях на связанные с правительством предприятия и организации в Мьянме. Изучение инфраструктуры и кодовой базы вредоносного ПО KilllSomeOne показало, что имплант, скорее всего, является продуктом китайской организации Advanced Persistent Threat (APT). Это также соответствует профилю целевых организаций.
KilllSomeOne Malware обычно доставлял дополнительные вредоносные программы вместе со своей полезной нагрузкой - в нескольких случаях исследователям удавалось спасти базовые оболочки из зараженных сетей, в то время как в других случаях они обнаруживали более сложные образцы вредоносных программ. Во всех атаках KilllSomeOne Malware злоупотреблял уловкой с боковой загрузкой DLL, которая использовалась APT-участниками как минимум 7-8 лет. Даже по сей день это остается эффективным способом обхода некоторых политик безопасности по умолчанию, используемых в системах Windows. Хорошая новость заключается в том, что для предотвращения таких атак обычно достаточно использовать стороннее антивирусное программное обеспечение.
Вредоносное ПО KilllSomeOne, похоже, функционирует как загрузчик / дроппер, который используется в сочетании с различными семействами вредоносных программ, которые иногда кажутся слишком простыми для участников APT. До сих пор ни одна конкретная группа не была связана с кампанией KilllSomeOne Malware.