В середине 2022 года аналитическая группа ASEC сообщила, что по электронной почте распространяется вредоносное ПО с форматом файла XLL (расширение файла: .xll). Файл XLL имеет форму DLL файла PE (Portable Executable), но исполняется с помощью Microsoft Excel. С тех пор этот тип вредоносного ПО не распространялся активно, но впервые за долгое время мы обнаружили, что он распространяется с именем файла 'Resume.xll'.
LockBit 2.0
Файлы XLL являются надстройками Excel, и их можно запускать через MS Excel. Когда открывается файл 'Resume.xll', он запускается через Excel, как показано ниже, и появляется уведомление о безопасности, позволяющее пользователю выбрать, включать или не включать надстройку. Нажатие на кнопку "Включить" активирует вредоносные функции, предусмотренные файлом.
Хотя этот файл выполняется через Excel, он имеет структурный формат DLL-файла и включает xlAutoOpen в функцию экспорта. xlAutoOpen - это необходимая функция обратного вызова, которая должна быть актуализирована во всех XLL-файлах и поэтому включена по умолчанию. 'Resume.xll' скомпилирован с помощью программы с открытым исходным кодом под названием 'Excel-DNA' и содержит вредоносную DLL в формате .net, которая выполняет фактическое вредоносное поведение и сжимается в области ресурсов.
Имя файла вредоносного .net, извлеченного из 'Resume.xll', - 'ZFD06.dll', что совпадает с именем, отображаемым в области ресурсов на рисунке 3. Это имя также было найдено в XML-файле '__MAIN__.dna', который находится после распаковки 'Excel-DNA'.
Извлеченный файл ZFD06.dll является фактическим вредоносным файлом, который выполняет вредоносное поведение, задуманное агентом угрозы, когда открывается файл 'Resume.xll'. Скорее всего, эта вредоносная .net DLL была создана в форме XLL с помощью фреймворка 'Excel-DNA' перед распространением.
Цель этой DLL - загрузить дополнительное вредоносное ПО через PowerShell. Хотя в настоящее время она недоступна для загрузки, мы установили, что программа LockBit 2.0 ransomware загружалась в прошлом.
LockBit 2.0 Ransomware IOCs
Indicators of Compromise
URLs
- https://transfer.sh/get/671Cix/123.exe
MD5
- 9011870a33ddb12f8934f9061de6f42c
- fe5101b50e92a923d74cc6f0f4225539