Palo Alto Networks WildFire identifiziert die bei diesen Angriffen genutzten Exploit-Dateien und Malware als bösartig.
Unit 42 hat herausgefunden, dass bei uWarrior zwei verschiedene Exploits zum Einsatz kommen. Einer davon ist CVE-2012-1856, mit einer neuartigen ROP-Kette (Return-oriented Programming), um ASLR (Address Space Layout Randomization = Zufallsgestaltung des Adressraumaufbaus) zu umgehen und die uWarrior-Nutzlast auszuliefern. Der andere Exploit scheint CVE-2015-1770 zu sein. Die Malware ist ein voll ausgestattetes RAT, das ein komprimiertes, (wahlweise) verschlüsseltes rohes TCP-Socket (Transmission Control Protocol, Übertragungssteuerungsprotokoll) und Binärnachrichtenprotokoll für die Steuerung der Kommunikation verwendet. Im Verlauf der Forschung wurde deutlich, dass dieser Akteur uWarrior nicht von Grund auf erstellt hat, sondern ausgewählte Komponenten aus verschiedenen Off-the-shelf-Tools entliehen hat. Das "bewaffnete" RTF-Dokument enthält mehrere OLE-Objekte.
Die Untersuchung von uWarrior hat die Forscher von Unit 42 zu verdächtigen Vorläufer-Samples geführt, die dem kommerziell verfügbaren ctOS-RAT zugeordnet werden. Diese Samples enthalten ähnliche Konfigurationsstrukturen und teilen sich mehrere Funktionen mit den uWarrior-Samples. Das ctOS-RAT enthält jedoch ein deutlich umfassenderes Funktionalitätspaket im Vergleich zum uWarrior-Befehlssatz, was darauf hindeutet, dass uWarrior eine abgespeckte Alternative sein könnte.
Neben den ähnlichen Konfigurationen, scheint es, dass sich der uWarrior-Autor auch Code vom ctOS-RAT geliehen hat. Die Hilfs-DLL (Dynamic Link Library, dynamische Programmbibliothek) in uWarrior, die zur Handhabung mehrerer uWarrior-Funktionalitäten dient, hat zwei Funktionen, die sich direkt überschneiden mit Funktionen im ctOS-Quellcode. Eine davon erfasst die Größe einer spezifizierten Datei und die zweite das montierte Speichervolumen.
Unit 42 hat herausgefunden, dass bei uWarrior zwei verschiedene Exploits zum Einsatz kommen. Einer davon ist CVE-2012-1856, mit einer neuartigen ROP-Kette (Return-oriented Programming), um ASLR (Address Space Layout Randomization = Zufallsgestaltung des Adressraumaufbaus) zu umgehen und die uWarrior-Nutzlast auszuliefern. Der andere Exploit scheint CVE-2015-1770 zu sein. Die Malware ist ein voll ausgestattetes RAT, das ein komprimiertes, (wahlweise) verschlüsseltes rohes TCP-Socket (Transmission Control Protocol, Übertragungssteuerungsprotokoll) und Binärnachrichtenprotokoll für die Steuerung der Kommunikation verwendet. Im Verlauf der Forschung wurde deutlich, dass dieser Akteur uWarrior nicht von Grund auf erstellt hat, sondern ausgewählte Komponenten aus verschiedenen Off-the-shelf-Tools entliehen hat. Das "bewaffnete" RTF-Dokument enthält mehrere OLE-Objekte.
Die Untersuchung von uWarrior hat die Forscher von Unit 42 zu verdächtigen Vorläufer-Samples geführt, die dem kommerziell verfügbaren ctOS-RAT zugeordnet werden. Diese Samples enthalten ähnliche Konfigurationsstrukturen und teilen sich mehrere Funktionen mit den uWarrior-Samples. Das ctOS-RAT enthält jedoch ein deutlich umfassenderes Funktionalitätspaket im Vergleich zum uWarrior-Befehlssatz, was darauf hindeutet, dass uWarrior eine abgespeckte Alternative sein könnte.
Neben den ähnlichen Konfigurationen, scheint es, dass sich der uWarrior-Autor auch Code vom ctOS-RAT geliehen hat. Die Hilfs-DLL (Dynamic Link Library, dynamische Programmbibliothek) in uWarrior, die zur Handhabung mehrerer uWarrior-Funktionalitäten dient, hat zwei Funktionen, die sich direkt überschneiden mit Funktionen im ctOS-Quellcode. Eine davon erfasst die Größe einer spezifizierten Datei und die zweite das montierte Speichervolumen.
