Вредоносные программы, маскирующиеся под обычные документы (Kimsuky)

security IOC

Группа анализа ASEC недавно обнаружила, что вредоносное ПО, замаскированное под письмо с предложением рукописи (нацеленное на работников сферы безопасности)>, распространяется среди радиовещательных и обычных компаний, а также тех, кто работает в сфере безопасности.

Чтобы облегчить выполнение вредоносного макрокода, агент угроз использовал изображение, которое предлагает пользователям выполнить макрос. Это изображение постоянно использовалось в прошлом, и есть подозрение, что все они принадлежат одному и тому же оператору.

Ниже приведен список URL-адресов загрузки вредоносных макродокументов Word, выявленных нами дополнительно.

  • hxxp://www.hydrotec.co[.]kr/bbs/img/cmg/upload2/init.dotm
  • hxxp://www.hydrotec.co[.]kr/bbs/img/cmg/upload3/init.dotm
  • hxxp://jooshineng[.]com/gnuboard4/adm/img/ghp/up/state.dotm
  • hxxp://gdtech[.]kr/gnuboard4/adm/cmg/attatch/init.dotm
  • hxxp://ddim.co[.]kr/gnuboard4/adm/cmg/upload/init.dotm

Когда вредоносный макрос внутри загруженного документа выполняется, он генерирует и запускает файл version.bat, содержащий команду curl. Пакетный файл содержит коды, которые загружают и выполняют обычный документ и дополнительный вредоносный скрипт. Используемые команды curl выглядят следующим образом.

Подтвержденные обычные документы, замаскированные под сопроводительные письма, предложения о приеме на работу и многое другое.

Как и в предыдущих случаях, дополнительный вредоносный скрипт передает на C&C-сервер следующие данные.

  • Системная информация зараженного ПК
  • Информация о вирусных вакцинах, установленных в системе
  • Список недавно открытых файлов Word
  • Информация о директории папки загрузки в системе
  • Информация о запущенных процессах
  • Модификация реестров, связанных с IE
  • Регистрация в планировщике задач для поддержания соединения с сервером C&C.

В последнее время случаи распространения вредоносных программ, направленных на связанных с Северной Кореей лиц, распространяются и среди обычных корпоративных пользователей, призывая их к максимальной осторожности. Поэтому пользователям следует воздержаться от просмотра писем от неизвестных отправителей и соблюдать осторожность, чтобы макросы, включенные в документы Office, не запускались автоматически.

Indicators of Compromise

URls

  • http://ddim.co.kr/gnuboard4/adm/cmg/upload/init.dotm
  • http://gdtech.kr/gnuboard4/adm/cmg/attatch/init.dotm
  • http://gdtech.kr/gnuboard4/adm/cmg/upload/list.php?query=60
  • http://www.hydrotec.co.kr/bbs/img/cmg/upload2/init.dotm
  • http://www.hydrotec.co.kr/bbs/img/cmg/upload3/init.dotm

MD5

  • 3cdf9f829ed03e1ac17b72b636d84d0bs
  • 55a46a2415d18093abcd59a0bf33d0a9
  • 705ef00224f3f7b02e29f21eb6e10d02
  • 83b4d96fc75f74bb589c28e8a9eddbbf
  • 873b2b0656ee9f6912390b5abc32b276
SEC-1275-1
Добавить комментарий