KilllSomeOne Malware använder DLL sidladdning för att leverera skadliga implantat

Cybersäkerhetsexperter har identifierat en ny bit av skadlig kod som kallas KilllSomeOne. Det användes i attacker mot regeringsanslutna enheter och organisationer i Myanmar. Att fördjupa sig djupt i infrastrukturen och kodbasen för KilllSomeOne Malware avslöjade att implantatet sannolikt kommer att vara en produkt av en Kina-baserad Advanced Persistent Threat (APT) -aktör. Detta är också i linje med de riktade organisationernas profil.

KilllSomeOne Malware levererade vanligtvis ytterligare skadlig kod tillsammans med dess nyttolast - vid flera tillfällen lyckades forskare rädda grundläggande skal från infekterade nätverk, medan de i andra fall upptäckte mer avancerade skadliga prover. I alla attackerna missbrukade KilllSomeOne Malware ett DLL-sidladdningstrick, som har använts av APT-aktörer i minst 7-8 år. Ännu i dag är det fortfarande ett effektivt sätt att kringgå några av de standardpolicyer som Windows-system använder. Den goda nyheten är att det är tillräckligt att använda antivirusprogram från tredje part för att mildra sådana attacker.

KilllSomeOne Malware verkar fungera som en Loader / Dropper som används i kombination med olika skadliga familjer som ibland verkar vara för enkla för APT-aktörer. Hittills har ingen särskild grupp länkats till kampanjen KilllSomeOne Malware.