LockBit 2.0 Ransomware IOCs - Part 3

security IOC
Опубликовано

В середине 2022 года аналитическая группа ASEC сообщила, что по электронной почте распространяется вредоносное ПО с форматом файла XLL (расширение файла: .xll). Файл XLL имеет форму DLL файла PE (Portable Executable), но исполняется с помощью Microsoft Excel. С тех пор этот тип вредоносного ПО не распространялся активно, но впервые за долгое время мы обнаружили, что он распространяется с именем файла 'Resume.xll'.

LockBit 2.0

Файлы XLL являются надстройками Excel, и их можно запускать через MS Excel. Когда открывается файл 'Resume.xll', он запускается через Excel, как показано ниже, и появляется уведомление о безопасности, позволяющее пользователю выбрать, включать или не включать надстройку. Нажатие на кнопку "Включить" активирует вредоносные функции, предусмотренные файлом.

Хотя этот файл выполняется через Excel, он имеет структурный формат DLL-файла и включает xlAutoOpen в функцию экспорта. xlAutoOpen - это необходимая функция обратного вызова, которая должна быть актуализирована во всех XLL-файлах и поэтому включена по умолчанию. 'Resume.xll' скомпилирован с помощью программы с открытым исходным кодом под названием 'Excel-DNA' и содержит вредоносную DLL в формате .net, которая выполняет фактическое вредоносное поведение и сжимается в области ресурсов.

Имя файла вредоносного .net, извлеченного из 'Resume.xll', - 'ZFD06.dll', что совпадает с именем, отображаемым в области ресурсов на рисунке 3. Это имя также было найдено в XML-файле '__MAIN__.dna', который находится после распаковки 'Excel-DNA'.

Извлеченный файл ZFD06.dll является фактическим вредоносным файлом, который выполняет вредоносное поведение, задуманное агентом угрозы, когда открывается файл 'Resume.xll'. Скорее всего, эта вредоносная .net DLL была создана в форме XLL с помощью фреймворка 'Excel-DNA' перед распространением.

Цель этой DLL - загрузить дополнительное вредоносное ПО через PowerShell. Хотя в настоящее время она недоступна для загрузки, мы установили, что программа LockBit 2.0 ransomware загружалась в прошлом.

LockBit 2.0 Ransomware IOCs

Indicators of Compromise

URLs

  • https://transfer.sh/get/671Cix/123.exe

MD5

  • 9011870a33ddb12f8934f9061de6f42c
  • fe5101b50e92a923d74cc6f0f4225539
Похожие записи:
  1. LockBit 3.0/Amadey Bot IOCs
  2. LockBit Ransomware IOCs
  3. LockBit 2.0 Ransomware IOCs
  4. LockBit 2.0 Ransomware IOCs - Part 2
  5. LockBit 3.0 Ransomware IOCs
ASEC LockBit
SEC-1275-1
Добавить комментарий