8 января аналитическая группа ASEC выявила распространение вредоносной программы типа document, нацеленной на работников сферы безопасности. Полученная вредоносная программа использует внешний объект внутри документа Word для выполнения дополнительного вредоносного макроса. Такая техника называется методом инъекции шаблона (template Injection). и похожий случай атаки был рассмотрен в предыдущей записи блога.
Когда документ Word открыт, он загружает и исполняет дополнительный вредоносный макрос Word с C&C-сервера. Дополнительный макрос написан так, что одновременно открывается обычный файл документа, чтобы пользователи не заметили, что в фоновом режиме выполняется код макроса.
Обычный файл документа, распространяемый вместе с вредоносным ПО субъектом угрозы, содержит текст на корейском языке, но включает китайские шрифты. Из этого можно сделать вывод, что угрожающий агент использует китайскую версию Word.
После выполнения обычного документа загружается и выполняется сценарий утечки информации, который отвечает за пересылку нижеприведенной информации на C&C-сервер.
- Системная информация зараженного ПК
- Список недавно открытых файлов Word
- Информация о директории папки загрузки в системе
- Модификация реестров, связанных с IE
- Регистрация в планировщике задач для поддержания соединения с C&C-сервером
- Информация об установленных в системе антивирусных вакцинах
Indicators of Compromise
IPv4
- 112.175.85.243
URLs
- http://lifehelper.kr/gnuboard4/bbs/img/upload/list.php?query=1
- http://lifehelper.kr/gnuboard4/bbs/img/upload/temp.docx
- http://lifehelper.kr/gnuboard4/bbs/img/upload/temp.dotm
- http://lifehelper.kr/gnuboard4/bbs/img/upload1/list.php?query=1
- http://lifehelper.kr/gnuboard4/bbs/img/upload1/temp.docx
- http://lifehelper.kr/gnuboard4/bbs/img/upload1/temp.dotm
MD5
- 2244f8798062d4cef23255836a2b4569
- 2c9d6f178f652c44873edad3ae98fff5
- 3fe5ce0be3ce20b0c3c9a6cd0dae4ae9
- 68e79490ed1563904791ca54c97b680a
- dd954121027d662158dcad24c21d04ba
- f22899abfa82e34f6e59fa97847c7dfd