Группа анализа ASEC обнаружила распространение вредоносного файла LNK, замаскированного под обычный документ HWP, вместе с текстовым файлом, выдающим себя за Национальную налоговую службу. Одновременно открывается обычный документ HWP с соответствующим содержимым, что затрудняет для пользователей понимание того, что файл является мошенническим. Вредоносный скрипт-файл, выполняемый в конце, относится к тому же типу, что и скрипт, описанный в статье "Вредоносные файлы Word, замаскированные под презентацию продукта", и, как предполагается, создан тем же субъектом угрозы.
Недавно обнаруженный файл LNK обычно распространяется со следующими именами файлов, связанных с налоговыми расследованиями.
- Tax Investigation Summon.hwp.lnk
- Application for Transactions Confirmation (for issuing buyer-issued tax invoice)(Enforcement Ordinance of the Value-Added Tax Act).hwp.lnk
- Statement for Source of Funds (Enforcement Ordinance of the Value-Added Tax Act).hwp.lnk
- Other Form No.00 Faithful Reporting Confirmation.hwp.lnk
- Income Tax Law No20(5) Bill of Major Expenses.hwp.lnk
- Statement for Reception of Receipt.hwp.lnk
ASEC делает вывод, что файл LNK распространяется в сжатом формате вместе с обычным текстовым файлом. Агент угрозы включает содержимое, выдающее себя за сотрудника Национальной налоговой службы, чтобы побудить пользователей выполнить вредоносный файл LNK, который также включен в сжатый файл.
На следующем изображении показано содержимое файла 'Guidelines for Reporting Documents.txt', включенного в вышеуказанный сжатый файл.
Вредоносный LNK-файл замаскирован под значок документа HWP, как показано на изображении ниже, и при открытии этого файла через Powershell выполняются вредоносные действия.
Команда Powershell, выполняемая LNK-файлом, создает нормальный HWP-документ внутри LNK-файла под именем 'Other Form No.00 Faithful Reporting Confirmation.hwp' и открывает этот документ, заставляя пользователей думать, что они открыли нормальный файл документа.
После этого он создает файлы 21358.cab и 24360.vbs в каталоге %Public%, а затем выполняет файл 24360.vbs. На следующем изображении показаны основные обфусцированные строки в коде вышеупомянутого сценария.
После выполнения вышеупомянутого сценария файлы, сжатые в файле 21358.cab, копируются в каталог %public%\documents. Среди них запускается файл start.vbs. После этого он удаляет файлы 21358.cab и 24360.vbs.
В коде start.vbs также обфусцированы основные строки, а код, выполняемый в конце, отвечает за запуск файла fully.bat, как показано ниже.
Этот bat-файл регистрирует файл start.vbs как svchostno2 в HKCU\Software\Microsoft\Windows\CurrentVersion\Run, чтобы он мог выполняться автоматически.
Затем он выполняет файлы no1.bat и no4.bat и использует download.vbs для загрузки дополнительного файла с hxxps://filecompact.com/list.php?q=%COMPUTERNAME%.txt. Загруженный файл сохраняется как setup.cab, распаковывается, а затем удаляется.
Выполненный выше файл no1.bat запускает start01.vbs и start02.vbs, а файл no4.bat содержит код, который сливает информацию о ПК пользователя.
Целевые части информации выглядят следующим образом.
1 2 3 4 5 6 7 | dir C:\Users\%username%\downloads\ /s Results dir C:\Users\%username%\documents\ /s Results dir C:\Users\%username%\desktop\ /s Results dir "C:\Program Files\" /s Results nslookup myip.opendns.com resolver1.opendns.com Results tasklist Results systeminfo Results |
Каждая собранная информация сохраняется как cuserdown.txt, cuserdocu.txt, tskit.txt и т.д. в папке %public%\documents. Затем эти файлы передаются на hxxps://filecompact.com/upload.php с помощью upload.vbs.
Файл start01.vbs, выполняемый no1.bat, также включает обфусцированные строки и загружает дополнительный файл с hxxps://naver.filetodownload.com/v2/read/get.php?mi=ln3&te=10294765.txt, который сохраняется как %public%\740997.zip.
Как и файл start01.vbs, start02.vbs, выполняемый no1.bat, распаковывает скачанный файл 740997.zip в каталог %public% перед использованием команды 'cmd.exe /c rundll32.exe "Имя файла" ",Run" для выполнения распакованного файла. На момент анализа с URL-адреса не было загружено никаких дополнительных файлов, однако по замыслу угрожающего субъекта могут быть загружены различные вредоносные программы.
Помимо рассмотренного выше документа HWP, обнаружено множество вредоносных LNK-файлов, замаскированных под обычные документы HWP с содержанием, связанным с налогами и декларациями, поэтому пользователям рекомендуется быть особенно осторожными.
Indicators of Compromise
URLs
- https://fastfilestore.com/files/list.php?q=%COMPUTERNAME%.txt
- https://fastfilestore.com/files/upload.php
- https://filecompact.com/list.php?q=%COMPUTERNAME%.txt
- https://filecompact.com/upload.php
- https://naver.filedowns.net/v2/read/get.php?kioz=ln3&uwac=10294765.txt
- https://naver.filetodownload.com/v2/read/get.php?mi=ln3&te=10294765.txt
- https://the-fast-file.com/list.php?q=%COMPUTERNAME%.txt
- https://the-fast-file.com/upload.php
MD5
- 1bfe8d93ca1b2711fcf9958aa907abac
- 306cd4d12bf80fd6f581d438f7e31c3c
- 5773b236d2263979c4af83efb661ad37
- 5d479cbb619c98df370a1bb6c4190dff
- 6ac02caaad3490df88ebc59e5e2ea6fa
- 743f963dca043db8769cdfb6015af3af
- 85cc9cfe13f71967aca7b961a3cdf0be
- 8c0528c92510f100fe81b9e0ed0d3698
- 9f4993fe2163df12812ec2ad42860334
- a05493d7f163c534e2a923789225ab82
- c11f2d5d9651f82007b6de56bac05652
- c34cf6d8ef370906b12b42a0b83a3869
- ceca17155cc484711a7df2d6c85de4ba
- d2470fe8a0c3b73acedadc284b380d00
- e60022a1e871de0f093edaa81a2ed762
- ee8e160336bddbcc5f94f5f93565bfe8