KilllSomeOne惡意軟件使用DLL側面加載來提供惡意植入物
網絡安全專家發現了一種名為KilllSomeOne的新惡意軟件。它被用來攻擊緬甸政府隸屬的實體和組織。深入研究KilllSomeOne惡意軟件的基礎結構和代碼庫後發現,植入物很可能是總部位於中國的高級持久威脅(APT)參與者的產品。這也符合目標組織的概況。
KilllSomeOne惡意軟件通常會在其有效載荷旁邊提供其他惡意軟件–研究人員曾幾次設法從受感染的網絡中搶救基本外殼,而在其他情況下,他們發現了更高級的惡意軟件樣本。在所有攻擊中,KillSomeOne惡意軟件都濫用了DLL側加載技巧,該技巧已被APT參與者使用了至少7-8年。直到今天,它仍然是繞過Windows系統採用的某些默認安全策略的有效方法。好消息是,使用第三方防病毒軟件通常足以緩解此類攻擊。
KilllSomeOne惡意軟件似乎可以用作加載程序/刪除程序,與不同的惡意軟件家族結合使用,對於APT參與者而言,有時看起來太簡單了。到目前為止,還沒有特定的小組與KilllSomeOne惡意軟件活動相關聯。
May 13, 2021
