ईएसईटी: न्यू ओशनलोटस साइबर्गग्रुप बैकडोर डिलिवरी स्कीम

एक पोस्ट में, हम यह बताएंगे कि कैसे महासागरलोटस साइबरबर्ग (APT32 और APT-C-00) ने हाल ही में CVE-2017-11882 , Microsoft Office में स्मृति भ्रष्टाचार भेद्यता के लिए एक सार्वजनिक कारनामे का इस्तेमाल किया, और समूह का मैलवेयर किसी भी निशान को छोड़ने के बिना समझौता किए गए सिस्टम में दृढ़ता प्रदान करता है। । अगला, हम वर्णन करते हैं कि, 2019 की शुरुआत से, समूह ने कोड को चलाने के लिए स्व-निष्कर्षण अभिलेखागार का उपयोग किया।

ओशनलोटस दक्षिण पूर्व एशिया में प्राथमिकता के लक्ष्यों के साथ साइबर जासूसी में माहिर है। हमलावर दस्तावेजों को बनाते हैं जो संभावित पीड़ितों का ध्यान आकर्षित करने के लिए उन्हें एक पिछले दरवाजे को मनाने के लिए प्रेरित करते हैं, और उपकरणों के विकास पर भी काम करते हैं। डिकॉय बनाने के लिए उपयोग किए जाने वाले तरीके अलग-अलग हमलों में भिन्न होते हैं - "डबल एक्सटेंशन" के साथ फाइलों से, स्वयं-निकालने वाले अभिलेखागार, मैक्रोज़ के साथ दस्तावेजों में अच्छी तरह से ज्ञात कारनामे।

Microsoft समीकरण संपादक में एक शोषण का उपयोग करना

2018 के मध्य में, ओशनएलोटस ने CVE-2017-11882 भेद्यता का उपयोग करके एक अभियान शुरू किया। साइबरबर्ग के दुर्भावनापूर्ण दस्तावेजों में से एक का विश्लेषण 360 थ्रेट इंटेलिजेंस सेंटर के विशेषज्ञों ( चीनी में एक अध्ययन ) द्वारा किया गया था, जिसमें शोषण का विस्तृत विवरण भी शामिल था। नीचे पोस्ट में, ऐसे दुर्भावनापूर्ण दस्तावेज़ का अवलोकन।

पहला चरण

FW Report on demonstration of former CNRP in Republic of Korea.doc 1 (एसएचए -1: D1357B284C951470066AAA7A8228190B88A5C7C3 ) ऊपर वर्णित अध्ययन के समान है। यह दिलचस्प है कि यह कंबोडियन राजनीति (CNRP - कंबोडिया की नेशनल साल्वेशन पार्टी, 2017 के अंत में भंग) में रुचि रखने वाले उपयोगकर्ताओं को लक्षित करता है। एक्सटेंशन .doc के बावजूद, दस्तावेज़ में RTF प्रारूप है (नीचे आंकड़ा देखें), जंक कोड शामिल है, और विकृत भी है।


चित्रा 1. आरटीएफ में कचरा

विकृत तत्वों की उपस्थिति के बावजूद, Word सफलतापूर्वक इस RTF फ़ाइल को खोलता है। जैसा कि चित्र 2 से देखा जा सकता है, यहाँ 0xC00 के ऑफसेट के साथ EQNOLEFILEHDR संरचना है, इसके बाद MTEF हैडर और फिर फ़ॉन्ट के लिए MTEF प्रविष्टि (चित्र 3) है।


चित्रा 2. फॉंट रिकॉर्ड मान


चित्रा 3. फॉण्ट रिकॉर्डिंग प्रारूप

नाम फ़ील्ड में एक अतिप्रवाह संभव है, क्योंकि कॉपी करने से पहले इसके आकार की जांच नहीं की जाती है। बहुत लंबा नाम भेद्यता को ट्रिगर करता है। जैसा कि RTF फ़ाइल (चित्र 2 में ऑफसेट 0xC26) की सामग्री से देखा जा सकता है, बफर शेल कोड से भरा है, इसके बाद एक डमी कमांड ( 0x90 ) और रिटर्न एड्रेस 0x402114 । पता EQNEDT32.exe में एक डायलॉग आइटम है जो RET स्टेटमेंट की ओर EQNEDT32.exe करता है। इसके कारण EIP शेल फ़ील्ड वाले नाम फ़ील्ड की शुरुआत को इंगित करता है।


चित्रा 4. शोषण शेलकोड की शुरुआत

पता 0x45BD3C एक चर को संग्रहीत करता है जो तब तक के लिए 0x45BD3C हो जाता है जब तक कि यह वर्तमान में लोड किए गए MTEFData संरचना में एक संकेतक तक नहीं पहुंचता है। यहाँ शंख बाकी है।

शेल कोड का उद्देश्य एक खुले दस्तावेज़ में एम्बेडेड शेल कोड के दूसरे टुकड़े को निष्पादित करना है। सबसे पहले, स्रोत NtQuerySystemInformation ओपन डॉक्यूमेंट के फाइल डिस्क्रिप्टर को खोजने की कोशिश करता है, जो सभी सिस्टम डिस्क्रिप्टर ( SystemExtendedHandleInformation तर्क के साथ SystemExtendedHandleInformation ) पर WinWord और WinWord कि क्या डिस्क्रिप्टर PID और WinWord प्रक्रिया PID WinWord और यदि दस्तावेज़ एक्सेस मास्क के साथ खोला गया है - 0x12019F ।

सही डिस्क्रिप्टर (और किसी अन्य ओपन डॉक्यूमेंट के डिस्क्रिप्टर का पता लगाने) की पुष्टि करने के लिए, CreateFileMapping फ़ंक्शन का उपयोग करके फ़ाइल की सामग्री को प्रदर्शित किया जाता है, और शेल कोड यह देखने के लिए जांचता है कि क्या दस्तावेज़ के अंतिम चार बाइट्स " yyyy " (एग हंटिंग मेथड) के अनुरूप हैं। जैसे ही एक मैच मिलता है, दस्तावेज़ को एक अस्थायी फ़ोल्डर ( GetTempPath ) पर ole.dll रूप में ole.dll । फिर दस्तावेज़ के अंतिम 12 बाइट्स पढ़े जाते हैं।


चित्रा 5. अंत-दस्तावेज़ के मार्करों

AABBCCDD और yyyy मार्करों के बीच 32-बिट मान अगले AABBCCDD की ऑफसेट है। इसे CreateThread फ़ंक्शन का उपयोग करना कहा जाता है। पहले OceanLotus द्वारा उपयोग किया गया एक ही शेलकोड निकाला गया। मार्च 2018 में जारी पायथन एमुलेशन स्क्रिप्ट अभी भी दूसरे चरण को डंप करने का काम करती है।

दूसरा चरण

घटक पुनर्प्राप्ति

फ़ाइल और निर्देशिका नाम गतिशील रूप से चुने गए हैं। कोड अनियमित रूप से C:\Windows\system32 में एक निष्पादन योग्य या DLL फ़ाइल का नाम चुनता है। वह फिर अपने संसाधनों के लिए अनुरोध करता है और फ़ोल्डर नाम के रूप में उपयोग के लिए FileDescription फ़ील्ड को पुनर्प्राप्त करता है। यदि यह काम नहीं करता है, तो कोड यादृच्छिक रूप से %ProgramFiles% या C:\Windows निर्देशिका (GetWindowsDirectoryW) से फ़ोल्डर का नाम चुनता है। यह एक ऐसे नाम के उपयोग से बचता है जो मौजूदा फ़ाइलों के साथ संघर्ष कर सकता है, और यह सुनिश्चित करता है कि इसमें निम्नलिखित शब्द न हों: windows , Microsoft , desktop , system , system या syswow64 । यदि निर्देशिका पहले से मौजूद है, तो नाम में "NLS_ {6 वर्ण}" जोड़ा जाता है।

संसाधन 0x102 विश्लेषण किया जाता है और फ़ाइलों को यादृच्छिक रूप से चयनित फ़ोल्डर में %ProgramFiles% या %AppData% में डंप किया जाता है। निर्माण समय को kernel32.dll के समान मानों में बदल दिया गया।

उदाहरण के लिए, यहां एक फ़ोल्डर और निष्पादन योग्य फ़ाइल C:\Windows\system32\TCPSVCS.exe डेटा स्रोत के रूप में चुनकर बनाई गई फ़ाइलों की एक सूची है।


चित्रा 6. विभिन्न घटकों को निकालना

ड्रॉपर में 0x102 संसाधन की संरचना काफी जटिल है। संक्षेप में, इसमें शामिल हैं:
- फ़ाइल नाम
- फ़ाइलों का आकार और सामग्री
- संपीड़न प्रारूप ( COMPRESSION_FORMAT_LZNT1 RtlDecompressBuffer द्वारा उपयोग किया जाता है)

पहली फ़ाइल को TCPSVCS.exe रूप में रीसेट किया TCPSVCS.exe , जो कि वैध AcroTranscoder.exe ( AcroTranscoder.exe अनुसार, SHA-1: 2896738693A8F36CC7AD83EF1FA46F82F32BE5A3 ) है।

आपने देखा होगा कि कुछ DLL फाइलें 11 MB से बड़ी होती हैं। ऐसा इसलिए है क्योंकि यादृच्छिक डेटा का एक बड़ा सन्निहित बफर निष्पादन योग्य फ़ाइल के अंदर स्थित है। यह संभव है कि यह कुछ सुरक्षा उत्पादों द्वारा पता लगाने से बचने का एक तरीका है।

सुनिश्चित हठ

ड्रॉपर में 0x101 संसाधन में दो 32-बिट पूर्णांक होते हैं जो यह निर्धारित करते हैं कि दृढ़ता कैसे बनाए रखें। पहले का मान बताता है कि मैलवेयर बिना प्रशासक अधिकारों के कैसे दृढ़ता बनाए रखेगा।


तालिका 1. व्यवस्थापक अधिकारों के बिना दृढ़ता तंत्र

दूसरे पूर्णांक का मान बताता है कि व्यवस्थापक के रूप में काम करते समय मैलवेयर को कैसे दृढ़ता सुनिश्चित करनी चाहिए।


तालिका 2. व्यवस्थापक अधिकारों के साथ दृढ़ता तंत्र

एक सेवा का नाम एक्सटेंशन के बिना एक फ़ाइल नाम है; प्रदर्शन नाम फ़ोल्डर का नाम है, लेकिन अगर यह पहले से मौजूद है, तो स्ट्रिंग " Revision 1 " इसमें जोड़ा जाता है (अप्रयुक्त नाम मिलने तक संख्या बढ़ जाती है)। ऑपरेटरों ने सुनिश्चित किया कि सेवा के माध्यम से दृढ़ता स्थिर थी - विफलता की स्थिति में, 1 सेकंड के बाद सेवा को फिर से शुरू किया जाना चाहिए। फिर, नई सेवा रजिस्ट्री कुंजी का WOW64 मान 4 पर सेट है, जो इंगित करता है कि यह 32-बिट सेवा है।

निर्धारित कार्य कई COM इंटरफेस के माध्यम से बनाया गया है: ITaskScheduler , ITask , ITaskTrigger , IPersistFile और ITaskScheduler । संक्षेप में, दुर्भावनापूर्ण प्रोग्राम एक छिपा हुआ कार्य बनाता है, वर्तमान उपयोगकर्ता या व्यवस्थापक के बारे में जानकारी के साथ खाता जानकारी सेट करता है और फिर ट्रिगर सेट करता है।

यह 24 घंटे की अवधि और 10 मिनट के दो रन के बीच अंतराल के साथ एक दैनिक कार्य है, जिसका अर्थ है कि यह लगातार प्रदर्शन किया जाएगा।

दुर्भावनापूर्ण सा

हमारे उदाहरण में, निष्पादन योग्य फ़ाइल TCPSVCS.exe ( AcroTranscoder.exe ) वैध सॉफ़्टवेयर है जो इसके साथ डंप किए गए DLL को डाउनलोड करता है। इस मामले में, Flash Video Extension.dll ब्याज की है।

इसका DLLMain फ़ंक्शन केवल दूसरे फ़ंक्शन को कॉल करता है। कुछ फजी विधेय मौजूद हैं:


चित्रा 7. फजी भविष्यवाणी की है

इन भ्रामक जाँचों के बाद, कोड TCPSVCS.exe फ़ाइल के TCPSVCS.exe खंड को प्राप्त करता है, इसकी सुरक्षा को PAGE_EXECUTE_READWRITE और डमी निर्देशों को जोड़ते हुए इसे अधिलेखित कर देता है:


चित्र 8. निर्देशों का क्रम

अंत में, CALL निर्देश को FLVCore::Uninitialize(void) फ़ंक्शन के पते पर Flash Video Extension.dll द्वारा निर्यात किया गया है। इसका मतलब यह है कि दुर्भावनापूर्ण DLL को लोड करने के बाद, जब रनटाइम TCPSVCS.exe में WinMain को कॉल TCPSVCS.exe , तो निर्देश सूचक NOP को इंगित करेगा, जिसके परिणामस्वरूप FLVCore::Uninitialize(void) , अगला चरण होगा।

फ़ंक्शन केवल वर्तमान उपयोगकर्ता नाम के बाद {181C8480-A975-411C-AB0A-630DB8B0A221} शुरू होने वाला म्यूटेक्स बनाता है। वह फिर * .db3 एक्सटेंशन के साथ डंप की गई फ़ाइल को पढ़ती है, जिसमें स्थिति-स्वतंत्र कोड होता है, और सामग्री को निष्पादित करने के लिए CreateThread का उपयोग करता है।

* .Db3 फ़ाइल की सामग्री आमतौर पर OceanLotus समूह द्वारा उपयोग किया जाने वाला शेलकोड है। एक बार फिर, हमने सफलतापूर्वक गेटरहब पर प्रकाशित एमुलेटर स्क्रिप्ट का उपयोग करके इसके पेलोड को अनपैक किया।

स्क्रिप्ट अंतिम चरण को पुनः प्राप्त करती है। यह घटक एक पिछले दरवाजे है जिसका हमने पहले ही एक ओशनलैटस अध्ययन में विश्लेषण किया था। यह बाइनरी फ़ाइल के GUID {A96B020F-0000-466F-A96D-A91BBF8EAC96} द्वारा निर्धारित किया जा सकता है। मालवेयर कॉन्फ़िगरेशन अभी भी PE संसाधन में एन्क्रिप्टेड है। इसमें लगभग समान विन्यास है, लेकिन C & C सर्वर पिछले वाले से अलग हैं:

- andreagahuvrauvin[.]com
- byronorenstein[.]com
- stienollmache[.]xyz

OceanLotus फिर से पता लगाने से बचने के लिए विभिन्न तकनीकों के संयोजन को प्रदर्शित करता है। वे संक्रमण प्रक्रिया की एक "परिष्कृत" रूपरेखा के साथ लौटे। यादृच्छिक नाम और यादृच्छिक डेटा के साथ निष्पादन योग्य फ़ाइलों को पॉप्युलेट करके, वे विश्वसनीय IoCs (हैश और फ़ाइल नामों के आधार पर) की संख्या को कम करते हैं। इसके अलावा, थर्ड-पार्टी DLL लोडिंग के उपयोग के लिए धन्यवाद, हमलावरों को केवल वैध AcroTranscoder बाइनरी को हटाने की आवश्यकता है।

स्वयं निकालने वाला अभिलेखागार

RTF फ़ाइलों के बाद, समूह ने उपयोगकर्ता को और अधिक भ्रमित करने के लिए सामान्य दस्तावेज़ आइकनों के साथ सेल्फ-एक्स्ट्रेक्टिंग (SFX) संग्रह पर स्विच किया। यह थ्रेटबुक ( चीनी में लिंक ) द्वारा लिखा गया था। शुरू करने के बाद, स्व-निकालने वाली RAR फ़ाइलों को डंप कर दिया जाता है और DLL को एक्सटेंशन के साथ .ocx निष्पादित किया जाता है, जिसके अंतिम पेलोड को पहले {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll प्रलेखित किया गया था। जनवरी 2019 के मध्य से, ओशनलोटस ने इस तकनीक का पुन: उपयोग किया है, लेकिन समय के साथ, कुछ विन्यास बदल गए हैं। इस खंड में हम प्रौद्योगिकी और परिवर्तनों के बारे में बात करेंगे।

बैत सृजन

दस्तावेज THICH-THONG-LAC-HANH-THAP-THIEN-VIET-NAM (1).EXE (SHA-1: AC10F5B1D5ECAB22B7B418D6E98FA18E32BBDEAB ) 2018 में पहली बार मिला। यह SFX फ़ाइल बुद्धिमानी से बनाई गई थी - विवरण ( संस्करण जानकारी ) कहता है कि यह एक JPEG छवि है। SFX स्क्रिप्ट इस प्रकार है:


चित्रा 9. एसएफएक्स कमांड

मैलवेयर रीसेट करता है {9ec60ada-a200-4159-b310-8071892ed0c3}.ocx (SHA-1: EFAC23B0E6395B1178BCF7086F72344B24C04DCC ), साथ ही तस्वीर 2018 thich thong lac.jpg.

चारा छवि इस प्रकार है:


चित्रा 10. चारा छवि

आपने देखा होगा कि SFX स्क्रिप्ट में पहली दो लाइनें OSX फाइल को दो बार कॉल करती हैं, लेकिन यह कोई त्रुटि नहीं है।

{9ec60ada-a200-4159-b310-8071892ed0c3} .ocx (ShLD.dll)

OSX फाइल कंट्रोल फ्लो अन्य ओशियनलोटस घटकों के समान है - इसमें JZ/JNZ और PUSH/RET कमांड के कई सीक्वेंस जंक कोड के साथ बारी-बारी से हैं।


चित्रा 11। अस्पष्ट कोड

जंक कोड को फ़िल्टर करने के बाद, DllRegisterServer निर्यात जिसे regsvr32.exe द्वारा बुलाया जाता है, वह इस तरह दिखता है:


चित्र 12. बेसिक इंस्टॉलर कोड

वास्तव में, पहली बार DllRegisterServer कहा जाता है DllRegisterServer निर्यात रजिस्ट्री मान HKCU\SOFTWARE\Classes\CLSID\{E08A0F4B-1F65-4D4D-9A09-BD4625B9C5A1}\Model DLL ( 0x10001DE0 ) में एन्क्रिप्टेड ऑफ़सेट के लिए 0x10001DE0 ।

जब किसी फ़ंक्शन को दूसरी बार कहा जाता है, तो वह उसी मान को पढ़ता है और उस पते पर चलता है। यहां से, एक संसाधन को पढ़ा जाता है और निष्पादित किया जाता है और रैम में कई क्रियाएं होती हैं।

शेलकोड एक ही पीई लोडर है जिसका उपयोग पिछले ओशनएलोटस अभियानों में किया जाता है। यह हमारी स्क्रिप्ट का उपयोग करके अनुकरण किया जा सकता है। नतीजतन, वह db293b825dcc419ba7dc2c49fa2757ee.dll डंप db293b825dcc419ba7dc2c49fa2757ee.dll , इसे मेमोरी में लोड करता है और DllEntry चलाता है।

DLL अपने संसाधन, डिक्रिप्ट (AES-256-CBC) और अनपैक (LZMA) की सामग्री को निकालता है। संसाधन का एक विशिष्ट प्रारूप होता है जो अपघटित होना आसान होता है।


चित्रा 13. इंस्टॉलर विन्यास संरचना (कैइटाइस्ट्रक्ट विज़ुअलाइज़र)

कॉन्फ़िगरेशन को स्पष्ट रूप से सेट किया गया है - विशेषाधिकार स्तर के आधार पर, बाइनरी डेटा %appdata%\Intel\logs\BackgroundUploadTask.cpl या %windir%\System32\BackgroundUploadTask.cpl (या 64-बिट सिस्टम के लिए SysWOW64 ) को लिखा जाएगा।

इसके बाद BackgroundUploadTask[junk].job नामक एक कार्य बनाकर दृढ़ता सुनिश्चित की जाती है, जहां [junk] बाइट्स 0x9D और 0xA0 का एक सेट है।

कार्य का अनुप्रयोग नाम %windir%\System32\control.exe , और पैरामीटर मान अनलोड किए गए बाइनरी फ़ाइल का पथ है। छिपे हुए कार्य हर दिन चलता है।

संरचनात्मक रूप से, CPL फ़ाइल एक DLL है जिसका आंतरिक नाम ac8e06de0a6c4483af9837d96504127e.dll , जो CPlApplet फ़ंक्शन को निर्यात करता है। यह फ़ाइल इसके एकमात्र संसाधन {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll , फिर इस DLL को लोड करती है और इसके एकमात्र DllEntry एक्सपोर्ट को कॉल करती है।

पिछले दरवाजे विन्यास फाइल

पिछले दरवाजे का विन्यास एन्क्रिप्टेड है और इसके संसाधनों में एम्बेडेड है। कॉन्फ़िगरेशन फ़ाइल की संरचना पिछले एक के समान है।


चित्रा 14. पिछले दरवाजे विन्यास संरचना (KaitaiStruct Visualizer)

समान संरचना के बावजूद, हमारी पुरानी रिपोर्ट में दिए गए आंकड़ों की तुलना में कई क्षेत्रों के मूल्यों को अपडेट किया गया था।

बाइनरी सरणी के पहले तत्व में Tencent द्वारा पहचाने गए DLL ( HttpProv.dll MD5: 2559738D1BD4A999126F900C7357B759 ) शामिल हैं। लेकिन चूंकि निर्यात नाम बाइनरी से हटा दिया गया है, इसलिए हैश मैच नहीं करता है।

अतिरिक्त शोध

नमूने एकत्र करते हुए, हमने कुछ विशेषताओं पर ध्यान आकर्षित किया। अभी वर्णित नमूना जुलाई 2018 के आसपास दिखाई दिया, और अन्य इसे हाल ही में, जनवरी के मध्य में - फरवरी 2019 की शुरुआत में। एक SFX संग्रह को एक संक्रमण वेक्टर के रूप में इस्तेमाल किया गया था, जो एक वैध चारा दस्तावेज और एक दुर्भावनापूर्ण OSX फ़ाइल को डंप करता है।

हालाँकि ओशनलैटस नकली टाइमस्टैम्प का उपयोग करता है, हमने देखा कि SFX और OCX फ़ाइलों की टाइमस्टैम्प हमेशा समान होती हैं ( 0x57B0C36A ( 0x57B0C36A @ 7:15 अपराह्न UTC) और 0x498BE80F (02/06/2009 @ 7:34 am UTC) ) क्रमशः)। यह संभवतः इंगित करता है कि लेखकों के पास एक निश्चित "निर्माता" है जो समान टेम्पलेट्स का उपयोग करता है और बस कुछ विशेषताओं को बदलता है।

2018 की शुरुआत के बाद से हमने जिन दस्तावेजों का अध्ययन किया है, उनमें विभिन्न नाम हैं जो हमलावर देशों के हितों का संकेत देते हैं:

- कंबोडिया मीडिया की नई संपर्क जानकारी (नया) .xls.exe
- - ((个人 简历) .exe (CV का नकली पीडीएफ दस्तावेज़)
- प्रतिक्रिया, 28-29 जुलाई, 2018.exe से यूएसए में रैली

पिछले दरवाजे की खोज {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll और कई शोधकर्ताओं द्वारा इसके विश्लेषण के प्रकाशन के बाद से, हमने मैलवेयर कॉन्फ़िगरेशन डेटा में कुछ बदलाव देखे हैं।

सबसे पहले, लेखकों ने सहायक DLL DLL ( DNSprov.dll और DNSprov.dll दो संस्करणों) से नाम निकालना शुरू किया। तब ऑपरेटरों ने तीसरे DLL ( HttpProv.dll का दूसरा संस्करण) को पैक करना बंद कर दिया, केवल एक एम्बेड करने के लिए चुनना।

दूसरे, कई पिछले दरवाजे विन्यास क्षेत्रों को बदल दिया गया था, शायद पता लगाने से बचने के लिए, क्योंकि कई IoCs उपलब्ध थे। लेखकों द्वारा संशोधित महत्वपूर्ण क्षेत्रों में निम्नलिखित हैं:

• AppX रजिस्ट्री कुंजी बदली गई (आईओसी देखें)
• म्यूटेक्स एन्कोडिंग स्ट्रिंग ("डीईएफ", "एबीसी", "गि")
• पोर्ट नंबर

अंत में, सभी नए विश्लेषण किए गए संस्करणों में, नए C & C को IoCs सेक्शन में सूचीबद्ध किया गया है।

निष्कर्ष

OceanLotus विकसित करना जारी है। साइबरबर्ग उपकरण और ल्यूर के शोधन और विस्तार पर केंद्रित है। लेखकों ने ध्यान खींचने वाले दस्तावेजों की मदद से दुर्भावनापूर्ण पेलोड को मुखौटा किया जो कथित पीड़ितों के लिए प्रासंगिक हैं। वे नए डिजाइन विकसित करते हैं और सार्वजनिक रूप से उपलब्ध उपकरणों का उपयोग करते हैं, जैसे कि समीकरण संपादक शोषण। इसके अलावा, वे पीड़ितों की मशीनों पर बची हुई कलाकृतियों की संख्या को कम करने के लिए सही उपकरण हैं, जिससे एंटीवायरस सॉफ़्टवेयर द्वारा पता लगाने की संभावना कम हो जाती है।

संकेतक से समझौता करें

कंप्रिसेस इंडिकेटर्स के साथ-साथ MITER ATT & CK विशेषताओं का स्वागत और GitHub पर उपलब्ध है ।