Вредоносная программа, замаскированная под письмо с предложением рукописи (нацелена на работников, занимающихся вопросами безопасности)

security IOC

8 января аналитическая группа ASEC выявила распространение вредоносной программы типа document, нацеленной на работников сферы безопасности. Полученная вредоносная программа использует внешний объект внутри документа Word для выполнения дополнительного вредоносного макроса. Такая техника называется методом инъекции шаблона (template Injection). и похожий случай атаки был рассмотрен в предыдущей записи блога.

Когда документ Word открыт, он загружает и исполняет дополнительный вредоносный макрос Word с C&C-сервера. Дополнительный макрос написан так, что одновременно открывается обычный файл документа, чтобы пользователи не заметили, что в фоновом режиме выполняется код макроса.

Обычный файл документа, распространяемый вместе с вредоносным ПО субъектом угрозы, содержит текст на корейском языке, но включает китайские шрифты. Из этого можно сделать вывод, что угрожающий агент использует китайскую версию Word.

После выполнения обычного документа загружается и выполняется сценарий утечки информации, который отвечает за пересылку нижеприведенной информации на C&C-сервер.

  • Системная информация зараженного ПК
  • Список недавно открытых файлов Word
  • Информация о директории папки загрузки в системе
  • Модификация реестров, связанных с IE
  • Регистрация в планировщике задач для поддержания соединения с C&C-сервером
  • Информация об установленных в системе антивирусных вакцинах

Indicators of Compromise

IPv4

  • 112.175.85.243

URLs

  • http://lifehelper.kr/gnuboard4/bbs/img/upload/list.php?query=1
  • http://lifehelper.kr/gnuboard4/bbs/img/upload/temp.docx
  • http://lifehelper.kr/gnuboard4/bbs/img/upload/temp.dotm
  • http://lifehelper.kr/gnuboard4/bbs/img/upload1/list.php?query=1
  • http://lifehelper.kr/gnuboard4/bbs/img/upload1/temp.docx
  • http://lifehelper.kr/gnuboard4/bbs/img/upload1/temp.dotm

MD5

  • 2244f8798062d4cef23255836a2b4569
  • 2c9d6f178f652c44873edad3ae98fff5
  • 3fe5ce0be3ce20b0c3c9a6cd0dae4ae9
  • 68e79490ed1563904791ca54c97b680a
  • dd954121027d662158dcad24c21d04ba
  • f22899abfa82e34f6e59fa97847c7dfd
SEC-1275-1
Добавить комментарий