Группа анализа ASEC обнаружила, что тип документа Word, в последнее время использовал FTP для утечки учетных данных пользователей. Имя файла идентифицированного документа Word - 'CNA[Q].doc', замаскированного под интервью сингапурской телепрограммы CNA. Файл защищен паролем и, как считается, распространяется как вложение в электронных письмах вместе с паролем.
Выявленный файл Word содержит информацию, связанную с Северной Кореей, как и в предыдущих случаях, и включает вредоносный макрос VBA. Изображение, вызывающее выполнение макроса.
Макрос VBA включает функцию Document_Open(), что позволяет вредоносному макросу выполняться автоматически. Выполняемый код макроса обфусцируется методом, аналогичным предыдущим версиям, и в конечном итоге создает и выполняет файл VBScript tmp.pip в папке %appdata%.
Когда файл tmp.pip выполняется, он создает Defender.log, DefenderUpdate.lba и Ahnlab.lnk. После этого он изменяет расширение файла DefenderUpdate.lba на bat и выполняет этот файл.
Hxxp://okihs.mypressonline[.]com/bb/bb.txt открывается при выполнении Defender.log, и в этом адресе находится сценарий, похожий на ng.txt.
Файл bb.down, дополнительный скрипт, загружаемый через bb.txt, содержит дополнительный код, использующий FTP для утечки пользовательской информации, в отличие от ранее рассмотренного ng.down. Помимо этого нового кода, создание LNK-файла (Ahnlab.lnk), изменение настроек безопасности MS Office и функции кейлоггинга работают так же, как и в прошлых версиях.
Собирает и передает информацию о ПК пользователя (Собранная информация сохраняется как %APPDATA%Ahnlab.hwp перед передачей в hxxp://okihs.mypressonline[.]com/bb/post.php)
Загружает дополнительные файлы с hxxp://okihs.mypressonline[.]com/bb/bb.down
Сценарий bb.down после выполнения выполняет вышеуказанную функцию 'main', и среди файлов в папке "%LOCALAPPDATA%\Google\Chrome\User Data" и подпапках папки "%LOCALAPPDATA%\Microsoft\Edge\User Data" считывает файлы, включающие 'Local State' и сохраняет зашифрованный_ключ в файле %APPDATA%\masterkey.txt. Затем он использует FTP для загрузки файла masterkey.txt на сайт jojoa.mypressonline[.]com/kmas.txt, и это, скорее всего, делается для расшифровки содержимого файла, связанного с браузером, который будет собран следующим.
После загрузки encrypted_key он находит файлы ниже и копирует их в папку %APPDATA% для сбора информации, сохраненной в браузере пользователя.
Скопированные файлы загружаются на сервер угрожающего субъекта под такими именами, как KLoginData и KCookie. Адреса загрузки каждого файла выглядят следующим образом.
LoginData : jojoa.mypressonline[.]com/KLoginData_[Chrome/msedge][n]
Данные для входа в аккаунт : jojoa.mypressonline[.]com/KLoginForAccount_[Chrome/msedge][n]
Cookies : jojoa.mypressonline[.]com/KCookie_[Chrome/msedge][n]
Чтобы затруднить пользователю идентификацию команды PowerShell, использованной в атаке, агент угроз добавил код для удаления %APPDATA%\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt, где сохраняется журнал выполнения команд PowerShell. Сценарий, используемый в атаке, постоянно совершенствуется, поэтому пользователи должны быть особенно бдительны.
Indicators of Compromise
Domains
- okihs.mypressonline.com
- jojoa.mypressonline.com
URLs
- http://okihs.mypressonline.com/bb/bb.txt
- http://okihs.mypressonline.com/bb/post.php
MD5
- 59be2b9a3e33057b3d80574764ab0952
- 8785b8e882eef125dc527736bb1c5704
- 89d972f89b336ee07733c72f6f89edc5