Группа анализа ASEC обнаружила новую волну кибератак, в ходе которых злоумышленники распространяют вредоносные программы, замаскированные под обычные документы. Целями стали сотрудники сферы безопасности, радиовещательные и обычные компании. Зловредное ПО скрывается в файлах Word, предлагающих рукописи или деловые предложения, что делает их особенно опасными для невнимательных пользователей.
Описание
Основной метод атаки заключается в использовании макросов, которые активируются через поддельные изображения внутри документов. Эти изображения убеждают жертву включить макросы, после чего вредоносный код начинает свою работу. Примечательно, что злоумышленники используют уже знакомые специалистам техники, что позволяет предположить, что за атаками стоит одна и та же группа, возможно, связанная с северокорейскими хакерами.
Эксперты выявили несколько URL-адресов, через которые распространяются зараженные файлы. Среди них hxxp://www.hydrotec.co[.]kr/bbs/img/cmg/upload2/init.dotm, hxxp://jooshineng[.]com/gnuboard4/adm/img/ghp/up/state.dotm и другие. После загрузки и открытия документа макрос генерирует файл version.bat, который, в свою очередь, запускает команды curl для загрузки дополнительных вредоносных скриптов. Например, одна из команд загружает файл state.docx, маскирующийся под легитимный документ, а другая - скрипт temp.vbs, который собирает конфиденциальные данные с зараженного компьютера.
Собранная информация включает системные данные, сведения об установленных антивирусах, список недавно открытых файлов Word, содержимое папки загрузок, активные процессы и даже изменения в реестре Windows, связанные с Internet Explorer. Кроме того, вредоносное ПО регистрирует задачу в планировщике для поддержания связи с сервером управления (C&C), что позволяет злоумышленникам долгое время контролировать зараженную систему.
Особую тревогу вызывает то, что подобные атаки, ранее нацеленные на организации, связанные с Северной Кореей, теперь затрагивают и обычные компании. Это свидетельствует о расширении тактики киберпреступников, которые все чаще используют социальную инженерию для проникновения в корпоративные сети.
Эксперты по кибербезопасности настоятельно рекомендуют соблюдать повышенную осторожность при работе с электронной почтой. Не следует открывать вложения от неизвестных отправителей, а также включать макросы в документах Office без крайней необходимости. Важно регулярно обновлять антивирусное ПО и обучать сотрудников основам цифровой гигиены, чтобы минимизировать риски заражения.
В условиях роста числа изощренных кибератак только комплексный подход к безопасности, включающий технические меры и повышение осведомленности пользователей, может защитить компании от серьезных убытков и утечки конфиденциальных данных.
Индикаторы компрометации
URls
- http://ddim.co.kr/gnuboard4/adm/cmg/upload/init.dotm
- http://gdtech.kr/gnuboard4/adm/cmg/attatch/init.dotm
- http://gdtech.kr/gnuboard4/adm/cmg/upload/list.php?query=60
- http://www.hydrotec.co.kr/bbs/img/cmg/upload2/init.dotm
- http://www.hydrotec.co.kr/bbs/img/cmg/upload3/init.dotm
MD5
- 3cdf9f829ed03e1ac17b72b636d84d0bs
- 55a46a2415d18093abcd59a0bf33d0a9
- 705ef00224f3f7b02e29f21eb6e10d02
- 83b4d96fc75f74bb589c28e8a9eddbbf
- 873b2b0656ee9f6912390b5abc32b276
