Вредоносный файл LNK, замаскированный под обычный документ HWP

security IOC

Группа анализа ASEC обнаружила распространение вредоносного файла LNK, замаскированного под обычный документ HWP, вместе с текстовым файлом, выдающим себя за Национальную налоговую службу. Одновременно открывается обычный документ HWP с соответствующим содержимым, что затрудняет для пользователей понимание того, что файл является мошенническим. Вредоносный скрипт-файл, выполняемый в конце, относится к тому же типу, что и скрипт, описанный в статье "Вредоносные файлы Word, замаскированные под презентацию продукта", и, как предполагается, создан тем же субъектом угрозы.

Недавно обнаруженный файл LNK обычно распространяется со следующими именами файлов, связанных с налоговыми расследованиями.

  • Tax Investigation Summon.hwp.lnk
  • Application for Transactions Confirmation (for issuing buyer-issued tax invoice)(Enforcement Ordinance of the Value-Added Tax Act).hwp.lnk
  • Statement for Source of Funds (Enforcement Ordinance of the Value-Added Tax Act).hwp.lnk
  • Other Form No.00 Faithful Reporting Confirmation.hwp.lnk
  • Income Tax Law No20(5) Bill of Major Expenses.hwp.lnk
  • Statement for Reception of Receipt.hwp.lnk

ASEC делает вывод, что файл LNK распространяется в сжатом формате вместе с обычным текстовым файлом. Агент угрозы включает содержимое, выдающее себя за сотрудника Национальной налоговой службы, чтобы побудить пользователей выполнить вредоносный файл LNK, который также включен в сжатый файл.

На следующем изображении показано содержимое файла 'Guidelines for Reporting Documents.txt', включенного в вышеуказанный сжатый файл.

Вредоносный LNK-файл замаскирован под значок документа HWP, как показано на изображении ниже, и при открытии этого файла через Powershell выполняются вредоносные действия.

Команда Powershell, выполняемая LNK-файлом, создает нормальный HWP-документ внутри LNK-файла под именем 'Other Form No.00 Faithful Reporting Confirmation.hwp' и открывает этот документ, заставляя пользователей думать, что они открыли нормальный файл документа.

После этого он создает файлы 21358.cab и 24360.vbs в каталоге %Public%, а затем выполняет файл 24360.vbs. На следующем изображении показаны основные обфусцированные строки в коде вышеупомянутого сценария.

После выполнения вышеупомянутого сценария файлы, сжатые в файле 21358.cab, копируются в каталог %public%\documents. Среди них запускается файл start.vbs. После этого он удаляет файлы 21358.cab и 24360.vbs.

В коде start.vbs также обфусцированы основные строки, а код, выполняемый в конце, отвечает за запуск файла fully.bat, как показано ниже.

Этот bat-файл регистрирует файл start.vbs как svchostno2 в HKCU\Software\Microsoft\Windows\CurrentVersion\Run, чтобы он мог выполняться автоматически.
Затем он выполняет файлы no1.bat и no4.bat и использует download.vbs для загрузки дополнительного файла с hxxps://filecompact.com/list.php?q=%COMPUTERNAME%.txt. Загруженный файл сохраняется как setup.cab, распаковывается, а затем удаляется.

Выполненный выше файл no1.bat запускает start01.vbs и start02.vbs, а файл no4.bat содержит код, который сливает информацию о ПК пользователя.
Целевые части информации выглядят следующим образом.

Каждая собранная информация сохраняется как cuserdown.txt, cuserdocu.txt, tskit.txt и т.д. в папке %public%\documents. Затем эти файлы передаются на hxxps://filecompact.com/upload.php с помощью upload.vbs.

Файл start01.vbs, выполняемый no1.bat, также включает обфусцированные строки и загружает дополнительный файл с hxxps://naver.filetodownload.com/v2/read/get.php?mi=ln3&te=10294765.txt, который сохраняется как %public%\740997.zip.

Как и файл start01.vbs, start02.vbs, выполняемый no1.bat, распаковывает скачанный файл 740997.zip в каталог %public% перед использованием команды 'cmd.exe /c rundll32.exe "Имя файла" ",Run" для выполнения распакованного файла. На момент анализа с URL-адреса не было загружено никаких дополнительных файлов, однако по замыслу угрожающего субъекта могут быть загружены различные вредоносные программы.

Помимо рассмотренного выше документа HWP, обнаружено множество вредоносных LNK-файлов, замаскированных под обычные документы HWP с содержанием, связанным с налогами и декларациями, поэтому пользователям рекомендуется быть особенно осторожными.

Indicators of Compromise

URLs

  • https://fastfilestore.com/files/list.php?q=%COMPUTERNAME%.txt
  • https://fastfilestore.com/files/upload.php
  • https://filecompact.com/list.php?q=%COMPUTERNAME%.txt
  • https://filecompact.com/upload.php
  • https://naver.filedowns.net/v2/read/get.php?kioz=ln3&uwac=10294765.txt
  • https://naver.filetodownload.com/v2/read/get.php?mi=ln3&te=10294765.txt
  • https://the-fast-file.com/list.php?q=%COMPUTERNAME%.txt
  • https://the-fast-file.com/upload.php

MD5

  • 1bfe8d93ca1b2711fcf9958aa907abac
  • 306cd4d12bf80fd6f581d438f7e31c3c
  • 5773b236d2263979c4af83efb661ad37
  • 5d479cbb619c98df370a1bb6c4190dff
  • 6ac02caaad3490df88ebc59e5e2ea6fa
  • 743f963dca043db8769cdfb6015af3af
  • 85cc9cfe13f71967aca7b961a3cdf0be
  • 8c0528c92510f100fe81b9e0ed0d3698
  • 9f4993fe2163df12812ec2ad42860334
  • a05493d7f163c534e2a923789225ab82
  • c11f2d5d9651f82007b6de56bac05652
  • c34cf6d8ef370906b12b42a0b83a3869
  • ceca17155cc484711a7df2d6c85de4ba
  • d2470fe8a0c3b73acedadc284b380d00
  • e60022a1e871de0f093edaa81a2ed762
  • ee8e160336bddbcc5f94f5f93565bfe8
SEC-1275-1
Добавить комментарий