क्वासर, सोबकेन और वर्मिन: चल रहे साइबर जासूसी अभियान का विवरण

रिमोट एक्सेस टूल, क्वासर, सोबकेन और वर्मिन का उपयोग करते हुए साइबर क्रिमिनल्स यूक्रेनी सरकारी एजेंसियों की निगरानी करते हैं और उनके सिस्टम से डेटा चुराते हैं। इस साइबर समूह का पहली बार जनवरी 2018 में एक रिपोर्ट में उल्लेख किया गया था, जिसने 2017 के मध्य में ईएसईटी का ध्यान आकर्षित किया और आज भी इसका सॉफ्टवेयर विकसित करना जारी है।

इस रिपोर्ट में, हम वर्तमान अभियान के विवरणों को प्रकट करते हैं, मैलवेयर के बारे में जानकारी प्रदान करते हैं और उन तरीकों का वर्णन करते हैं जो हमलावर फैलाने, निशाना बनाने और पता लगाने के लिए उपयोग करते हैं।

हमलावरों का प्रोफाइल

इस समूह के पास बकाया तकनीकी ज्ञान या शून्य-दिन की कमजोरियों तक पहुंच नहीं है। हालांकि, उसने लंबे समय तक माल्वारी और गुप्त काम को फैलाने के लिए सफलतापूर्वक सोशल इंजीनियरिंग को लागू किया है।

हम अक्टूबर 2015 तक इसके काम को ट्रैक करने में कामयाब रहे, लेकिन यह संभव है कि समूह ने अपनी गतिविधियों को बहुत पहले शुरू किया था।

हमलावर .NET malvari के तीन संशोधनों का उपयोग करते हैं: Quasar RAT (रिमोट एडमिनिस्ट्रेशन टूल), Sobaken (Quas से RAT का व्युत्पन्न) और कस्टम RAT वर्मिन। उपकरण एक साथ एक ही लक्ष्य पर उपयोग किए गए थे, वे आंशिक रूप से बुनियादी ढांचे को साझा करते हैं और समान सी एंड सी सर्वर से कनेक्ट होते हैं। तीन समानांतर संशोधनों के उपयोग के लिए एक संभावित स्पष्टीकरण यह तथ्य है कि उन्हें एक-दूसरे से स्वतंत्र रूप से विकसित किया गया था।

पीड़ितों

यूक्रेनी सरकारी एजेंसियों पर हमलों में दुर्भावनापूर्ण सॉफ़्टवेयर का उपयोग किया जाता है। ईएसईटी टेलीमेट्री के अनुसार, विभिन्न संगठनों में सैकड़ों पीड़ित और इस अभियान से संबंधित कई सौ निष्पादन योग्य फाइलें दर्ज की गईं।

कालक्रम

चित्रा 1 कालानुक्रमिक क्रम में मुख्य अभियान घटनाओं को दर्शाता है।


चित्रा 1. अभियान समयरेखा

विस्तार

हमारे टेलीमेट्री डेटा के अनुसार, हमलावर तीन आरएटी के लिए प्राथमिक वितरण चैनल के रूप में ई-मेल का उपयोग करते हैं। वे पीड़ितों को मैलवेयर डाउनलोड करने और चलाने के लिए मनाने के लिए सोशल इंजीनियरिंग का उपयोग करते हैं।

ज्यादातर मामलों में, फ़ाइल नाम यूक्रेनी में लिखे गए हैं और पीड़ितों के काम से संबंधित हैं। यहां ऐसी फाइलों के उदाहरण दिए गए हैं:

• "यूक्रेन की सैन्य सेवा के संरक्षण और परिवार के उस सदस्य के आयोजन के लिए निर्देश" ("यूक्रेनी सेना के सैन्यकर्मियों और उनके परिवारों के सदस्यों की सुरक्षा सुनिश्चित करने का आदेश")
• "मैं नए मसौदे को सजा दूंगा, विलुकेन्या के संशोधन का पदनाम" ("वापसी की जाँच के लिए आदेश का नया मसौदा")
• "दान OVK Zbіlshennya limitu" ("खरीद प्रभाग डॉन HVAC। क्रेडिट सीमा बढ़ाना)"

सोशल इंजीनियरिंग की बुनियादी तकनीकों (निवेश पर ध्यान आकर्षित करने) के अलावा, हमलावर तीन तकनीकी तरीकों का उपयोग करते हैं। इससे अभियान के प्रदर्शन को और बढ़ाने की संभावना है।

विधि # 1 : ईमेल एप्लिकेशन यूनिकोड राइट-टू-लेफ्ट ओवरराइड कैरेक्टर का उपयोग करते हैं, जो सही एक्सटेंशन छिपाने के लिए, जिस दिशा में कैरेक्टर्स पढ़े जाते हैं, उसे बदल देते हैं। वास्तव में, ये वर्ड, एक्सेल, पॉवरपॉइंट या एक्रोबैट रीडर आइकन का उपयोग करके निष्पादन योग्य फाइलें हैं, ताकि संदेह का कारण न हो।

एक फ़ाइल नाम का एक उदाहरण: जैसा कि चित्र 2 में दिखाया गया है, "असुरक्षित जलने के लिए ठोस जलाऊ लकड़ी (जलाऊ लकड़ी) को हिलाना </ xcod scr" ("हीटिंग के लिए जलाऊ लकड़ी का परिवहन") असंगत उपयोगकर्ताओं के लिए .DOCX फ़ाइल की तरह दिखेगा।


चित्रा 2. एक निष्पादन योग्य फ़ाइल एक शब्द दस्तावेज़ के रूप में प्रच्छन्न

विधि 2 : ईमेल अनुप्रयोगों RAR स्व-निकालने अभिलेखागार के रूप में।

उदाहरण: आवेदन के साथ एक ई-मेल "Punishment_MOU_Dodatka_do_Instrucii_440_ost.rar" ("रक्षा मंत्रालय के आदेश, निर्देश संख्या 440 के लिए अनुलग्नक"), जैसा कि चित्र 3 में दिखाया गया है। RAR संग्रह के अंदर "सजा_MOU_Dodatki_Dodatki_Dodatka_Dodatka_Dodatka_Dodatka_dodat.rar" है।

संभवतः, पीड़ित इस फ़ाइल को चलाते हैं, जो स्वयं-निकालने वाले संग्रह की सामग्री को अनपैक करने के लिए प्रतीक्षा करते हैं, लेकिन इस तरह अनजाने में एक दुर्भावनापूर्ण निष्पादन योग्य फ़ाइल लॉन्च करते हैं।

विधि # 3 : Word दस्तावेज़ + CVE-2017-0199 का शोषण करें। यह भेद्यता तब लागू होती है जब कोई पीड़ित विशेष रूप से तैयार किए गए वर्ड डॉक्यूमेंट को खोलता है। Word प्रक्रिया किसी दूरस्थ सर्वर पर स्थित दुर्भावनापूर्ण स्क्रिप्ट वाली HTA फ़ाइल के लिए HTTP अनुरोध भेजती है। फिर mshta.exe द्वारा दुर्भावनापूर्ण स्क्रिप्ट लॉन्च की जाती है। इस भेद्यता के बारे में पहली सार्वजनिक जानकारी अप्रैल 2017 में दिखाई दी , और Microsoft ने इसे विंडोज और ऑफिस के सभी संस्करणों के लिए सुरक्षा अद्यतन जारी करके बंद कर दिया।

ईएसईटी टेलीमेट्री के अनुसार, इन हमलावरों ने मई 2017 में इस पद्धति का उपयोग करना शुरू किया। हमलावरों ने HTA फ़ाइलों और अंतिम पेलोड को वितरित करने के लिए hxxp: // चिप-ट्यूनिंग lg [] ua / का उपयोग किया।


चित्र 3. स्व-निकालने वाले RAR संग्रह के रूप में प्रच्छन्न फ़ाइल। संस्करण डेटा और कॉपीराइट का सुझाव है कि यह एक नकली है

स्थापना और दृढ़ता

इस समूह द्वारा उपयोग किए जाने वाले माल्वारी के तीन संशोधनों के लिए स्थापना प्रक्रिया समान है। ड्रॉपर ने पेलोड फाइल्स (वर्मिन, क्वासर या सोबकेन) को %APPDATA% फ़ोल्डर में वैध कंपनी (आमतौर पर एडोब, इंटेल या माइक्रोसॉफ्ट) के नाम के साथ एक सबफ़ोल्डर में डंप किया। फिर, जैसा कि चित्र 4 में दिखाया गया है, वह निरंतरता सुनिश्चित करने के लिए हर 10 मिनट में घटक को चलाने के लिए अनुसूचक में एक कार्य बनाता है। कुछ संस्करण अपने एक्सप्लोरर को विंडोज एक्सप्लोरर से दुर्गम बनाने के लिए विंडोज कंट्रोल पैनल शॉर्टकट कार्यक्षमता का उपयोग करने की विधि का भी उपयोग करते हैं। Windows Explorer में क्लिक करने पर ये फ़ोल्डर नहीं खुलेंगे, इसके बजाय, "सभी कार्य" पृष्ठ खुलता है।


चित्रा 4. एक कार्य जो हर 10 मिनट में एक दुर्भावनापूर्ण घटक लॉन्च करता है

उदाहरण:

C:\Users\Admin\AppData\Roaming\Microsoft\Proof\Settings.{ED7BA470-8E54-465E-825C- 99712043E01C}\TransactionBroker32.exe
C:\Users\Admin\AppData\Roaming\Adobe\SLStore\Setting.{ED7BA470-8E54-465E-825C- 99712043E01C}\AdobeSLService.exe

को लक्षित

मैलवेयर केवल लक्ष्य मशीनों पर काम करने के लिए बहुत सी चाल का उपयोग करते हैं। वे विशेष रूप से स्वचालित विश्लेषण प्रणालियों और सैंडबॉक्स से बचने के लिए सावधान हैं।

विधि # 1 : विंडोज में कीबोर्ड लेआउट की जाँच
यदि रूसी या यूक्रेनी कीबोर्ड लेआउट स्थापित है, तो मालवर चेक करता है। यदि नहीं, तो उसका काम तुरंत बंद हो जाता है।

विधि # 2 : IP पता सत्यापित करें
मालवार एक वैध सेवा के अनुरोध के माध्यम से एक संक्रमित कंप्यूटर का आईपी पता प्राप्त करता है
Ipinfo.io/json। यदि यूक्रेन या रूस में आईपी पता नहीं मिला है, या यदि यह कई चयनित क्लाउड सेवा प्रदाताओं या एंटी-वायरस सॉफ़्टवेयर डेवलपर्स में से एक में पंजीकृत है, तो काम पूरा हो जाएगा। सत्यापन करने वाले कोड को आंकड़े 5 और 6 में गड़बड़ी के परिणाम में दिखाया गया है।


चित्रा 5. कोड संक्रमित मशीन के आईपी पते के जियोलोकेशन की जाँच कर रहा है


चित्र 6. क्लाउड सेवा प्रदाताओं और एंटी-वायरस विक्रेताओं की सूची के साथ आईपी पते से मेल खाता कोड

विधि 3 : परीक्षण नेटवर्क अनुकरण
स्वचालित विश्लेषण प्रणालियां अक्सर फ़ेसेट-एनजी जैसे उपकरणों का उपयोग करती हैं, जहां DNS / HTTP संचार सफल होता है और किसी भी परिणाम का उत्पादन करता है। मालवारी लेखक एक यादृच्छिक साइट नाम / URL की पीढ़ी के माध्यम से ऐसी प्रणालियों की पहचान करने की कोशिश करते हैं और जांचते हैं कि इस URL (चित्र 7 में) से कोई संबंध नहीं है, क्योंकि यह एक वास्तविक प्रणाली पर होगा।


चित्र 7. कोड एक यादृच्छिक URL उत्पन्न कर रहा है और डाउनलोड शुरू कर रहा है

विधि 4 : एक विशिष्ट उपयोगकर्ता नाम सत्यापित कर रहा है
मालवेयर स्वचालित मैलवेयर विश्लेषण प्रणालियों के एक उपयोगकर्ता नाम विशिष्ट के साथ एक खाते के तहत शुरू नहीं करता है, जैसा कि चित्र 8 में दिखाया गया है।


चित्रा 8. ज्ञात मैलवेयर विश्लेषण प्रणालियों की एक सूची के साथ वर्तमान उपयोगकर्ता नाम का पुन: मिलान

स्टेग्नोग्राफ़ी अनुप्रयोग

2017 के मध्य से, हमलावर स्टेग्नोग्राफ़ी का उपयोग कर रहे हैं, मुफ्त होस्टिंग साइटों पर छवियों में दुर्भावनापूर्ण घटकों को छिपा रहे हैं saveshot.net और ibb.co.

स्टेग्नोग्राफ़ी एक विज्ञान है जो आपको डेटा को "पूर्ण दृश्य में" छिपाने की अनुमति देता है, अन्य अंदर, अवर्गीकृत जानकारी। हमारे मामले में, दुर्भावनापूर्ण EXE फ़ाइल एन्क्रिप्ट की गई थी और JPEG फ़ाइल में छिपाई गई थी, जैसा कि चित्र 9. Malvar में डाउनलोड और JPEG को डीकोड करता है, छिपे हुए डेटा को निकालता है, इन डेटा से EXE फ़ाइल को डिक्रिप्ट करता है और इसे लॉन्च करता है।


चित्र 9. उदाहरण जेपीईजी छवि का उपयोग डिलीवर किए गए दुर्भावनापूर्ण घटक (आकार बदलने और हटाने) के लिए किया गया

डिक्रिप्शन प्रक्रिया काफी जटिल है और इसे निम्नानुसार वर्णित किया जा सकता है:

1. बाइनरी में हार्ड-कोडित URL से JPEG फ़ाइल डाउनलोड करना।

2. अपने हैश की गणना करके और डाउनलोड बाइनरी फ़ाइल में हैश हार्डकोड के साथ सामंजस्य स्थापित करके आठ-अंकीय पासवर्ड की पाशविक शक्ति। यह चरण सीपीयू का गहनता से उपयोग करता है, इसे नियमित कंप्यूटर पर पूरा करने में 10 मिनट से अधिक समय लगता है। सबसे अधिक संभावना है, यह स्वचालित मैलवेयर विश्लेषण प्रणालियों का मुकाबला करने का एक और उपाय है।

3. जेपीईजी फ़ाइल को संसाधित करना और उसमें छिपे डेटा को निकालना, जैसा कि आंकड़े 10 और 11 में असंतुष्ट कोड से देखा जा सकता है। मैलवेयर द्वारा उपयोग किया जाने वाला एल्गोरिथ्म जेपीटीजी के जेपीईजी फ़ाइलों के लिए सबसे पुराने और सरल स्टेग्नोग्राफ़ी एल्गोरिदम में से एक के समान है। यह एक जेपीईजी फ़ाइल के असतत कोसाइन रूपांतरण गुणांक के LSB (कम से कम महत्वपूर्ण बिट) में डेटा छुपाता है। ऐसे छिपे हुए डेटा आमतौर पर नग्न आंखों को दिखाई देने वाली छवि को प्रभावित नहीं करते हैं, लेकिन विशेष एल्गोरिदम आसानी से इसकी उपस्थिति का पता लगा सकते हैं। हालांकि, इस स्टेग्नोग्राफ़ी एल्गोरिदम को लागू करना बहुत आसान है, जो संभवतः मालवरी के लेखकों द्वारा अपनी पसंद का कारण था।

4. GZip का उपयोग करके डेटा निष्कर्षण और अनपैकिंग।

5. चरण संख्या 2 में प्राप्त पासवर्ड के साथ एईएस पर विघटित डेटा का डिक्रिप्शन।

6. डिकोडिंग बेस 64 डिक्रिप्टेड डेटा।

7. डिस्क और निष्पादन के लिए EXE फ़ाइल लिखना।

नतीजतन, इस खतरे के लेखकों ने स्टेग्नोग्राफ़ी का उपयोग करने के विचार को त्याग दिया और अनएन्क्रिप्टेड निष्पादन योग्य फ़ाइलों को स्थानांतरित करने के लिए hxxp: // चिप-ट्यूनिंग lg [] ua का उपयोग करना शुरू कर दिया।


चित्र 10. जेपीईजी डिकोडर के अंदर स्टेग्नोग्राफ़ी कोड


चित्र 11. जेपीईजी डिकोडर के अंदर स्टेग्नोग्राफ़ी कोड

मालवरी मोड्स

ये हमलावर अपने हमलों में मालवरी के तीन संशोधनों का उपयोग करते हैं। नीचे हम प्रत्येक का संक्षिप्त विवरण देते हैं और विशेषता विशेषताओं के विवरण पर ध्यान केंद्रित करते हैं।

कैसर

क्वासर एक खुला स्रोत RAT है जो GitHub पर उपलब्ध है। हमने कई अभियान देखे जिनमें इस साइबर समूह ने क्वासर आरएटी बाइनरी फ़ाइलों का उपयोग किया था। पहला ज्ञात अभियान अक्टूबर 2015 से अप्रैल 2016 तक चला। अगला एक फरवरी 2017 में आयोजित किया गया था। संकलन कलाकृतियाँ PDB n:\projects\Viral\baybak_files_only\QRClient\QuasarRAT-master\Library\obj\ Release\Library.pdb को पथ दिखाती हैं

इन हमलावरों (mailukr.net) के कमांड सर्वर का उपयोग करके क्वासर आरएटी के साथ एक और अभियान जुलाई - सितंबर 2017 में लागू किया गया था। हमलावरों ने क्वासर आरएटी के एक पुराने संस्करण का इस्तेमाल किया, जिसे "xRAT 2.0 RELEASE3" कहा गया। ड्रॉपर में संकलक कलाकृतियाँ PDB N:\shtorm\WinRARArchive\ obj\Release\WinRAR.pdb

Sobaken

सोबकेन क्वासर आरएटी का काफी संशोधित संस्करण है। यदि आप क्वासर और सोबकेन कार्यक्रमों की संरचना की तुलना करते हैं, तो आप सामान्य रूप से बहुत कुछ देख सकते हैं - चित्र 12 देखें।

सोबकेन के लेखकों ने मैलवेयर की कार्यक्षमता को कम कर दिया, इसलिए निष्पादन योग्य फ़ाइल छोटा और छिपाना आसान हो गया। उन्होंने सैंडबॉक्स को बाईपास करने के लिए और ऊपर वर्णित अन्य को भी जोड़ दिया।


चित्रा 12. विकसित विकास। बाएं क्वासर आरएटी v1.3, मध्य और दाएं में - सोबकेन के दो संस्करण

दरिंदा

वर्मिन एक कस्टम बैकडोर है जो केवल इस साइबर समूह का उपयोग करता है। पहली बार, मालो को Palo Alto Networks January 2018 रिपोर्ट में प्रलेखित किया गया था। 2016 के मध्य में बैकडोर दिखाई दिया और अभी भी उपयोग में है। क्वासर विद सोबकेन, यह .NET में लिखा गया है। विश्लेषण को मुश्किल बनाने के लिए, कोड को वाणिज्यिक .NET रिएक्टर कोड सुरक्षा प्रणाली या ओपन सोर्स प्रोटेक्टर कन्फ्यूसरएक्स के उपयोग से संरक्षित किया जाता है।

इसके अलावा, सोबकेन की तरह, यह मुख्य निष्पादन योग्य फ़ाइल में आवश्यक DLL को एम्बेड करने के लिए Vitevic असेंबली एम्बेडर का उपयोग करता है, जो विज़ुअल स्टूडियो मार्केटप्लेस में उपलब्ध है।

कार्यात्मक

वर्मिन कई वैकल्पिक घटकों के साथ पूरी तरह से चित्रित बैकडोर है। लेखन के समय ज्ञात नवीनतम संस्करण (वर्मिन 2.0) निम्नलिखित आदेशों का समर्थन करता है, जिनमें से सार को नामों से समझा जा सकता है:
- StartCaptureScreen
- StopCaptureScreen
- रीडायरेक्ट्री
- अपलोड करें
- डाउनलोड करें
- CancelUploadFile
- रद्द करें डाउनलोड करें
- GetMonitors
- डिलीटफाइल्स
- ShellExec
- गेटप्रोसेस
- किलप्रोसेस
- CheckIfProcessIsRunning
- CheckIfTaskIsRunning
- RunKeyLogger
- CreateFolder
- नाम बदलें
- डिलीट फोल्डर
- अपडेटबॉट
- नाम बदलें
- संग्रह
- StartAudioCapture
- StopAudioCapture
- सेटमिचोल्यूम

अधिकांश आदेश मुख्य पेलोड में कार्यान्वित किए जाते हैं। केवल कुछ आदेश और अतिरिक्त कार्य - पीड़ित के मशीन पर हमलावरों द्वारा लोड किए गए वैकल्पिक घटकों के माध्यम से। वैकल्पिक घटकों में:
- ऑडियो रिकॉर्डिंग
- कीलॉगर
- पासवर्ड चोरी
- USB से फ़ाइल की चोरी (USB फ़ाइल चुराने वाला)

ऑडियो रिकॉर्डिंग उपकरण (AudioManager)

एक पूर्ण विकसित वर्मिन घटक जो पीड़ित के कंप्यूटर के माइक्रोफोन से ध्वनि रिकॉर्ड कर सकता है। यह तीन वर्मिन आदेशों को स्वीकार करता है: StartAudioCapture, StopAudioCapture और SetMicVolume। प्राप्त डेटा को Speex codecs का उपयोग करके संपीड़ित किया जाता है और वर्म C और C सर्वर को SOAP प्रारूप में अपलोड किया जाता है।

कीलॉगर (कीबोर्डहूकलिब)

वर्मिन में कीलॉगर एक सरल अलग निष्पादन योग्य फ़ाइल है जो सभी कीस्ट्रोक्स को स्वीकार करता है और उन्हें एन्क्रिप्टेड रूप में फ़ाइल में लिखता है। यह बफर की सामग्री और सक्रिय खिड़कियों के नाम भी लिखता है। Keylogger स्वयं Vermin C & C सर्वर के साथ संवाद नहीं कर सकता है; मुख्य पिछले दरवाजे का उपयोग एकत्रित जानकारी को प्रसारित करने के लिए किया जाता है।

कीलॉगर में PDB का मार्ग वर्मिन मैलवेयर के साथ संबंध की पुष्टि करता है:
Z:\Projects\Vermin\KeyboardHookLib\obj\Release\AdobePrintLib.pdb

पासवर्ड चोरी उपकरण (PwdFetcher)

ब्राउज़र (क्रोम, ओपेरा) से सहेजे गए पासवर्ड को निकालने के लिए एक अलग वर्मिन पासवर्ड चोरी घटक का उपयोग किया जाता है। कोड का मुख्य भाग हैबर के एक लेख से कॉपी किया गया लगता है। कुछ नमूनों में फ़ायरफ़ॉक्स ब्राउज़र से जानकारी निकालने के लिए कोड भी होता है, लेकिन इसका उपयोग नहीं किया जाता है। जैसा कि चित्र 13 में दिखाया गया है, इस घटक में कीलॉगर घटक के समान पीडीबी पथ भी हैं, जो वर्मिन के साथ संबंध की पुष्टि करता है।


चित्रा 13. संकलन कलाकृतियाँ जो आपको पासवर्ड चोरी घटक को वर्मिन के साथ जोड़ने की अनुमति देती हैं

USB फ़ाइल चोरी उपकरण (UsbGuard)

UsbGuard.exe एक वैकल्पिक घटक है जिसका उपयोग सोबकेन और वर्मिन दोनों द्वारा किया जाता है। यह एक छोटा सा अलग प्रोग्राम है जो कंप्यूटर से जुड़े यूएसबी ड्राइव पर नज़र रखता है और हमलावरों द्वारा कॉन्फ़िगर किए गए फ़िल्टर के अनुरूप सभी फाइलों को कॉपी करता है। चोरी की गई फ़ाइलों को मुख्य बैकडोर मॉड्यूल का उपयोग करके स्थानांतरित किया जाता है। इस घटक के नमूने में पीडीबी के लिए कई अलग-अलग रास्ते पाए गए हैं, जो स्पष्ट रूप से वर्मिन को बांधते हैं।

अप्रैल 2018 से, फ़ाइल चोरी घटक का उपयोग एक अलग उपकरण के रूप में किया गया है। यह फाइलों को कॉपी करता है और तुरंत हमलावर द्वारा नियंत्रित सर्वर पर अपलोड करता है।

विश्लेषण किए गए नमूनों में, हमलावरों ने निम्न एक्सटेंशन वाली फ़ाइलों की खोज की:
- डॉक्टर
- डॉक्स
- xls
- xlsx
- ज़िप
- रार
- 7z
- डॉकम
- txt
- आरटीएफ
- xlsm
- पीडीएफ
- जेपीजी
- जेपीईजी
- टिफ़
- ओर्ट
- ओडीएस

निष्कर्ष

यूक्रेन में उच्च-रैंकिंग लक्ष्यों के उद्देश्य से मैलवेयर के उपयोग के साथ कई हमलों के बीच, इस अभियान को अधिक ध्यान नहीं मिला। शायद यह खुले स्रोतों से कोड के उपयोग के कारण है। हालाँकि, समूह पहले से ही अपने उपकरणों को विकसित करने के लिए आगे बढ़ चुका है।

पिछले तीन वर्षों में सोशल इंजीनियरिंग और स्टेग्नोग्राफ़ी सहित मैलवेयर और संक्रमण तंत्र के कई परिवारों का उपयोग इस तथ्य के कारण हो सकता है कि हमलावर कई समूहों में तरीकों या काम के साथ प्रयोग करते हैं।

तुच्छ तकनीकों का सफल अनुप्रयोग (उदाहरण के लिए, ई-मेल द्वारा RAR और EXE भेजना) मानव कारक से सुरक्षा के महत्व पर जोर देता है।

समझौता के संकेतक (आईओसी)

सी और सी सर्वर

सोबकेन सी एंड सी

akamaicdn.ru
akamainet021.info
cdnakamai.ru
windowsupdate.kiev.ua
akamainet022.info
akamainet066.info
akamainet067.info
notifymail.ru
mailukr.net
188.227.16.73
212.116.121.46
206.54.179.160

क्वासर सी एंड सी

188.227.75.189
mailukr.net
cdnakamai.ru
notifymail.ru

वर्मिन सी एंड सी

185.158.153.222
188.227.17.68
195.78.105.23
tech-adobe.dyndns.biz
notifymail.ru
akamainet023.info
mailukr.net
185.125.46.24
akamainet024.info
206.54.179.196

घटक स्थानांतरण, डेटा बहिष्कार

chip-tuning.lg.ua
www.chip-tuning.lg.ua
olx.website
news24ua.info
rst.website
1ua.eu
novaposhta.website

SHA1

दरिंदा

028EBDBEBAC7239B41A1F4CE8D2CC61B1E09983B
07E1AF6D3F7B42D2E26DF12A217DEBACEDB8B1B9
09457ACB28C754AA419AB6A7E8B1940201EF3FFE
0EEE92EC2723ED9623F84082DAD962778F4CF776
10128AB8770FBDECD81B8894208A760A3C266D78
131F99A2E18A358B60F09FD61EE312E74B02C07C
14F69C7BFAF1DF16E755CCF754017089238B0E7B
1509F85DE302BE83A47D5AFAD9BEE2542BA317FC
170CEE6523B6620124F52201D943D7D9CA7B95E5
191159F855A0E580290871C945245E3597A5F25C
1F12C32A41D82E978DE333CD4E93FDAA1396BE94
22B17966B597568DB46B94B253CD37CBCF561321
2C7332D8247376842BD1B1BD5298844307649C99
2E08BA5DF30C0718C1733A7836B5F4D98D84905E
2EDF808F8252A4CBCB92F47A0AEDC1AAAE79A777
360F54B33AC960EE29CA0557A28F6BB8417EF409
431FCE6A47D0A48A57F699AA084C9FF175A9D15F
45438834FDC5C690DA3BC1F60722BE86B871280D
4A8A8188E3A7A137651B24780DF37CB6F610CC19
4C1E4E136B7922F9E28D1B38E9760E28929E4F0B
5B6EA57FFC09593C3B65D903368EA5F7FAA2EB68
61D366939FE36861B2FECB38A4DFF6D86C925A00
6A72366D8AE09F72F0466FB59E8ED372F8B460D7
6FECA622B0FB282064F7DE42BA472A8EC908D0D6
70A772485C5ED330C6876FA901BA722CD44CA05E
70D97367A3DBD5D45482B6AF8C78C58B64D3F3B3
7803FD9753930522705F2B6B4E73622887892C28
7B11A84B18DC4B5F1F2826E7925F0B2DC1B936AE
889FD0BEB3197DDD6C88F5C40D6B8E4D74A892CE
9B6FBABFA2A77FA633F7A2EB352979D5C68CEBC6
A451291F17489E3A59F440A1B693D691B053C531
A53D77E55A06CF131D670339BACEC5AC0F0C6D66
A925D0AFB5D4F5FAC65543C993BE4172F1DBF329
B5F81C804E47B76C74C38DF03A5CBE8A4FE69A9A
B99DE55043099E9506B304660B8E1374787AB195
C00C104FC3E9F5977D11C67EF0C8C671D4DFC412
CA0296FA9F48E83EA3F26988401B3F4C4E655F7A
D4C6540E789BD3839D65E7EDA5CCA8832493649E
D5EDE1BBB9A12757E24BE283AFC8D746ADC4A0D4
DEFBFD98C74BEFF839EEB189F0F6C385AD6BA19B
ECF152EB6417A069573F2C7D9A35B9CC31EC8F56
EE2D40825C77C8DFEF67999F0C521919E6672A10
EF09AC6BA08A116F2C4080CBEE8CEF9523E21265
F414C49CF502D1B6CC46E08F3AC97D7846B30732

Sobaken

087F77998004207BCCFFBF3030B6789648930FA5
0A4A2BCB3EF4E19973D5C4BE4E141B665CC0BFE0
1CEEF0813C0F096E6DA5461DC4B3BF901C500C56
293DBFF0230DAB3C4C21428F90C8EF06E9F35608
37E2947BFB5FC0839087C5BCE194EC193F824C85
39525CBCA591F2A10946BA62A56E4C3382CD4FC0
3CE0A18E9A8A2B95827008DBFF16364B6FEDF361
3E869038080DAE006FF6B20DF9B0CD9CB3A5E1A1
400830AB6DD46789B00D081ADF0F82623472FB13
43F382A330A454FF83F4F35FB571ECF587A4694A
4449FBE2B28A81B760B284880ADBED43462C2030
4712AF28168FD728A13EFD520E0665FFD076B6FB
4F504D7B35660943B206D6034752C686365EA58D
53239A62E09BB0B4E49B7954D533258FEF3342C4
540292753FA0CC4ACB49E5F11FEDEA4B7DEF11D8
5589E8018DC7F934A8FDAB62670C9140AF31CAB6
57BBA7D8786D3B0C5F93BC20AB505DF3F69C72D4
630FE59D60F6882A0B9E35ED606BF06AD4BA048C
63EA7C844D86882F491812813AAAD746738A6BE9
64121FA2FD2E38AC85A911A9F7ADD8CA1E1A9820
64DBA711FDD52FECF534CAC0C6FE8848FE36F196
650AB5E674FEF431EBC8CF98141506DDC80C5E64
6EF13E9D5B0B6FCB5EB2A7439AAD7B21EA7FB7AC
7177F64362A504F3DF8AA815CEF7136D5A819C04
9B91EC03A09C4CF6DBEC637B3551BDCA11F04A9B
A26764AFB1DAC34CAA2123F7BF3543D385147024
A55319D3DBD7B9A587F5156CF201C327C803FBC9
A841FF1EE379269F00261337A043448D3D72E6FD
AAB5BAAAE8A2577E1036769F0D349F553E4D129B
ACB989B3401780999474C5B1D7F9198ECA11549A
B65372E41E7761A68AEF87001BBB698D8D8D5EC6
BDB5E0B6CA0AA03E0BECA23B46A8420473091DFF
C4421084C19423D311A94D7BB6CB0169C44CBECD
C7E76993BB419DC755BD0C04255AB88E6C77B294
CF5238C467EBE2704528EED18AB4259BFDC604E3
D2334E161A1720E2DF048E4366150729B9395144
D35FB6E031720876482E728A40532703EF02A305
D82DF2903AA4BC5FD4274B5D1BFAF9E081771628
E4B3CBCA9A53B7B93177A270C2A76F981D157C34
E585AA2C5BFB9D42D2E58DB3833330D056713B9A
F4A485696FC871307C22906701CBBB3FA522499B
F5C75450108440D0BC9E7B210F072EF25A196D20

कैसर

0A4915B81D9A9ACF4E19181DEEEBBE244430C16B
323160C88A254127D9ADB2848AE044AFFF376A4D
395166835495B418773C9690227779D592F94F71
3EE410DD50FC64F39DFF0C4EE8CC676F0F7D5A74
5B665152F6596D4412267F9C490878455BA235F9
5FE8558EB8A3C244BE2DA8BE750221B9A9EE8539
61CB5E535F0AC90A1F904EC9937298F50E2B4974
6A1CD05F07B1024287CEA400237E1EA9D2FE1678
7676AFF05A3550E5BBFF78CF4D10C9E094447D72
86165F464EC1912A43445D80559D65C165E2CF76
AB3CD05BE6B0BA8567B84D10EDE28ABF87E115AC
BFD7158E1C2F6BA525E24F85ED8CCF8EF40FD370
CFEBEFC92DCDF1687FD0BC1B50457EBDEA8672A2
D21B8514990B0CEAC5EAE687DEAA60B447139B9D

स्टेग्नोग्राफ़ी

04DA3E81684E4963ABEC4C0F6D56DF9F00D2EF26
3C618A0C4BF4D3D24C9F2A84D191FC296ED22FA4
746155881D5AB2635566399ACC89E43F6F3DA91A
CADBC40A4EFB10F4E9BD8F4EC3742FA8C37F4231
E22CE72406B14EF32A469569FBE77839B56F2D69

Hta फ़ाइलें

39F5B17471FD839CC6108266826A4AD8F6ECD6A3
751FBD034D63A5E0A3CA64F55045AE24E575384A
76433D1D13DF60EC0461ED6D8007A95C7A163FF9
89DF6A7551B00969E22DC1CAE7147447ACA10988
D6D148050F03F5B14681A1BBF457572B9401B664

ऑडियो रिकॉर्डिंग उपकरण

1F49946CA2CE51DC51615000BAA63F6C5A9961F1
98F62C2E6045D5A15D33C8383ADACF9232E5FBE3
E7C4A69EBD7B41A6AF914DD3D3F64E1AA1ABE9B4
F233A0F2997BB554D4F1A4B7AC77DAE4180850FA

keylogger

21921864D2F1AB2761C36031A2E1D2C00C9B304A
3C2D0615BEF6F88FED6E308D4F45B6133080C74F
91E8346910E0E6783ACFC4F2B9A745C81BD7573A

पासवर्ड चोरी का उपकरण

2A5C9D4DAE5E53B2962FBE2B7FA8798A127BC9A6
9B1586766AF9885EF960F05F8606D1230B36AC15
A2F0D5AF81D93752CFF1CF1E8BB9E6CAEE6D1B5E
CE18467B33161E39C36FC6C5B52F68D49ABCFC2A

USB फ़ाइल चोरी उपकरण

050EB7D20EE8EF1E1DAEE2F421E5BF648FB645DF
069A919B3BC8070BB2D71D3E1AD9F7642D8ECF0F
0D265E0BDA9DF83815759ABCA64938EC0FF65733
0D7DF910D0FB7B100F084BFB8DFA0A9F2371171A
2FF3F5DA2960BE95E50B751680F450896AD1ED67
3200ECC7503F184F72AB9DA1DC3E1F8D43DDFD48
46D256EF277328E803D2B15CA7C188267059949D
524EE1B7269D02F725E55254A015200BB472463A
53A0EFD3D448DA8E32CFDDA5848312D3CF802B06
6FC150A9CAFA75813E7473C687935E7E4A5DCE24
70559245303F99630A27CB47B328C20C9666F0BB
7D8044A5CBEFE3B016F2132A5750C30BB647E599
8FD919D531A7A80615517E1AC13C2D0F050AF20D
9D22421DA9696B535C708178C72323F64D31FC80
BFD2DFA3D6AF31DF4B9CC2F6B31B239ADF1CECA1
C08A6222B59A187F3CF27A7BAE4CACFACC97DDEE
C2F6A65E14605828880927B9BA3C386507BD8161
C562006D2FA53B15052A4B80C94B86355CCA7427
CB43058D9EBB517832DF7058641AEDF6B303E736
CC8A9C28E884FDA0E1B3F6CEAB12805FEA17D3C1
D3CC27CA772E30C6260C5A3B6309D27F08A295CD
E7A2DE3776BA7D939711E620C7D6AB25946C9881
EE6EFA7A6A85A1B2FA6351787A1612F060086320
EF0ABB3A0CD1E65B33C0F109DD18F156FC0F0CDE
F63BE193C8A0FBB430F3B88CC8194D755BAD9CD1

ESET का पता लगाना

अधिकांश फ़ाइलों को मालवेयर समानता सिद्धांत के आधार पर ईएसईटी द्वारा स्वचालित रूप से मान्यता दी गई थी। अभियान में खोजों का सीधा संबंध अधिकांश फाइलों से है:
MSIL/Agent AWB
MSIL/Agent AZG
MSIL/Agent AZJ
MSIL/Agent AZX
MSIL/Agent BCH
MSIL/Agent BCV
MSIL/Agent BCY
MSIL/Agent BFT
MSIL/Agent BGB
MSIL/Agent BGC
MSIL/Agent BGE
MSIL/Agent BGM
MSIL/Agent BJU
MSIL/Agent SCM
MSIL/Spy Agent BBB
MSIL/Spy Agent BIF
MSIL/TrojanDownloader Agent DYV
MSIL/TrojanDownloader Small BBM
MSIL/TrojanDropper Agent DBE
MSIL/TrojanDropper Agent DJQ
MSIL/TrojanDropper Agent DJR