Kraken 無文件攻擊技術利用 Microsoft Windows 錯誤報告(WER)
惡意軟件研究人員Hossein Jazi和Jér?meSegura已記錄了一種名為Kraken的新無文件攻擊技術,該技術利用Microsoft Windows錯誤報告(WER)服務。該黑客技術由一個身份不明的黑客組織采用,以避免被發現。
“9月17日,我們發現了一種稱為Kraken的新攻擊,該攻擊將其有效載荷作為防御逃避機制注入了Windows錯誤報告(WER)服務。” 指出由Malwarebytes發布的博客文章。
“當與操作系統,Windows功能或應用程序相關的錯誤發生時,通常會調用該報告服務WerFault.exe。”
威脅參與者采用了反分析和規避技術,包括代碼混淆和對沙箱或調試器環境進行一些檢查。
使用Kraken技術的威脅者(可能是APT團體)發起了網絡釣魚攻擊,該釣魚攻擊使用帶有.ZIP文件附件的郵件。
名為“Compensation manual.doc”的.ZIP檔案文件聲稱包含有關工人補償權的信息。
打開文檔后,將觸發一個宏,惡意代碼使用CactusTorch VBA模塊的自定義版本執行無文件攻擊。
與CactusTorch VBA不同,它指定了將宏中的有效載荷注入目標進程的目標進程,但此活動背后的威脅參與者修改了宏并在.Net有效載荷中指定了目標進程。
加載的有效載荷是內部命名為“Kraken.dll”的.Net DLL,并在2020-06-12上進行了編譯。
該DLL用作將嵌入式Shellcode注入WerFault.exe的加載程序 。根據專家的說法,裝載機有兩個主要類別,分別是“ Kraken ”和“ Loader ”。
攻擊鏈中的最后一個shellcode由一組指令組成,這些指令向硬編碼域發出HTTP請求,以下載惡意有效負載并將其注入到進程中。
在分析時,惡意軟件的硬編碼目標URL無法訪問,因此無法將Kraken技術歸因于特定的威脅參與者。但是,Malwarebytes研究人員發現了與APT32的某些鏈接,APT32是與越南有聯系的網絡間諜組織。
APT32小組自2012年以來一直活躍,它的目標群體是多個行業的組織以及外國政府,持不同政見者和新聞工作者。
至少從2014年開始,FireEye的專家就觀察到APT32的目標客戶是對越南的制造業,消費品和酒店業感興趣的外國公司。APT32還針對外圍網絡安全和技術基礎設施公司以及可能與外國投資者有聯系的安全公司。
Malwarebytes的報告包括危害指標(IoC)。
