Ένα νέο downloader, χρησιμοποιεί την πρωτότυπη μέθοδο «Port Monitor» για να μολύνει έναν υπολογιστή. Το κακόβουλο πρόγραμμα, που ονομάζεται DePriMon, χρησιμοποιείται από την ομάδα Lambert, γνωστή και ως Longhorn advanced persistent threat (APT), η οποία όπως ανακαλύφθηκε από εταιρείες ασφαλείας, στοχεύει κυρίως εταιρείες στην Ευρώπη και στην Μέση Ανατολή.
Οι κακόβουλοι παράγοντες εκμεταλλεύονται μία σειρά ευπαθειών, συμπεριλαμβανομένου του CVE-2014-4148 Windows exploit, για να διεισδύσουν σε κυβερνητικούς, τηλεπικοινωνιακούς, οικονομικούς, αεροπορικούς, ενεργειακούς, IT και εκπαιδευτικούς οργανισμούς, με αποτέλεσμα να δημιουργείται η εντύπωση ότι η ομάδα υποστηρίζεται από την κυβέρνηση.
Σύμφωνα με την Symantec τουλάχιστον 40 στόχοι σε 16 χώρες έχουν δεχτεί επίθεση από την ομάδα, μέσα στο 2017.
Η APT χρησιμοποιεί διάφορα κακόβουλα προγράμματα, στα οποία περιλαμβάνονται το Black Lampert, ένα ενεργό «εμφύτευμα» που συνδέεται με τον command and control server, το White Lampert, ένα backdoor με βάση το δίκτυο, το Blue Lampert, ένα κακόβουλο payload δεύτερης φάσης, το Green Lampert, μια παλαιότερη έκδοση του προαναφερθέντος payload και το Pink Lambert, ένα σετ εργαλείων που περιλαμβάνει μια υπομονάδα μόλυνσης USB και ένα orchestrator.
Η ESET δημοσίευσε τα αποτελέσματα μιας έρευνας σχετικά με το κακόβουλο downloader. Σύμφωνα με τους ερευνητές, το πρόγραμμα χρησιμοποιεί “πολλές μη παραδοσιακές τεχνικές”, συμπεριλαμβανομένης της καταχώρισης ενός νέου τοπικού συστήματος Port Monitor για να πετύχει ανθεκτικότητα.
Η τεχνική ονομάζεται “Windows Default Print Monitor” και ανακαλύφθηκε σε μια εταιρεία στην Ευρώπη και σε υπολογιστές στη Μέση Ανατολή, οι οποίοι επίσης έχουν μολυνθεί από κακόβουλο λογισμικό Lambert.
Το DePriMon μεταφορτώνεται στη μνήμη και εκτελείται ως DLL χρησιμοποιώντας τεχνικές DLL. Καθώς το downloader δεν αποθηκεύεται ποτέ στο δίσκο, οι πιθανότητeς ανίχνευσής του μειώνονται.
Το αρχείο DLL θα φορτωθεί από spoolsv.exe κατά την εκκίνηση του συστήματος, για να αποκτήσει δικαιώματα διαχειριστή.
Στη συνέχεια δημιουργείται μια διαδρομή για τη λήψη και εκτέλεση των κύριων κακόβουλων προγραμμάτων. Αυτή η διαδρομή είναι κρυπτογραφημένη με το σύστημα SSL / TLS Secure Channel της Microsoft. Το DePriMon μπορεί επίσης να χρησιμοποιήσει το Schannel, ανάλογα με τη διαμόρφωση του συστήματος του θύματος.
Το DePriMon είναι στη συνέχεια σε θέση να επικοινωνήσει με το C2 του, μέσω TLS. Οι εντολές και τα δεδομένα διαμόρφωσης είναι κρυπτογραφημένα με AES-256.
Η ESET δηλώνει ότι “Το DePriMon είναι ένα ασυνήθιστα προηγμένο downloader του οποίου οι προγραμματιστές κατέβαλαν επιπλέον προσπάθειες για τη δημιουργία της αρχιτεκτονικής και την κατασκευή των κρίσιμων στοιχείων του. Είναι ένα ισχυρό, ευέλικτο και επίμονο εργαλείο, σχεδιασμένο για να κατεβάσει ένα payload και να το εκτελέσει και να συλλέξει κάποιες βασικές πληροφορίες σχετικά με το σύστημα και τον χρήστη του”.
