Центр экстренного реагирования AhnLab Security Emergency response Center (ASEC) недавно обнаружил вредоносную программу CHM, которая, как предполагается, была создана группой Kimsuky.
CHM-файл был сжат и распространяется как вложение в электронное письмо. Первое письмо, которое отправляется по электронной почте, притворяется запросом на интервью по вопросам, связанным с Северной Кореей. Если получатель письма соглашается на интервью, то в качестве вложения отправляется защищенный паролем сжатый файл. Это письмо, выдающее себя за интервью по вопросам, связанным с Северной Кореей, не только идентично ранее проанализированному, но и имеет тот же формат отправки вредоносного файла только после того, как получатель ответит на письмо.
При выполнении файла InterviewQuestionnaire(***).chm появляется справочный документ с реальными вопросами, поэтому пользователям трудно понять, что файл является вредоносным.
CHM содержит вредоносный скрипт, и, как и вредоносная программа CHM, рассмотренная ранее, он использует объект ярлыка (ShortCut). Объект ярлыка вызывается через метод Click, и выполняется команда в Item1. Команда, выполняемая через 'InterviewQuestionnaire(***).chm', выглядит следующим образом.
Таким образом, закодированная команда сохраняется в %USERPROFILE%\Links\Document.dat при выполнении CHM. Команда, которая была декодирована Certutil, сохраняется в %USERPROFILE%\Links\Document.vbs. Угроза также зарегистрировала Document.vbs в ключе Run (HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run), чтобы обеспечить постоянный запуск вредоносного скрипта. В конечном итоге, Document.vbs выполняет сценарий PowerShell в hxxp://mpevalr.ria[.]monster/SmtInfo/demo.txt.
URL, к которому подключается Document.vbs, в настоящее время недоступен, но сценарий, который, предположительно, был загружен с этого адреса, был найден. Подтвержденный файл скрипта отвечает за перехват ключевых вводов пользователя перед сохранением их в определенном файле и отправкой этого файла агенту угрозы. Помимо чтения заголовка текущего запущенного окна ForegroundWindow и перехвата нажатий клавиш, он периодически проверяет содержимое буфера обмена и сохраняет его в файл %APPDATA%\Microsoft\Windows\Templates\Pages_Elements.xml. Затем он отправляет этот файл на hxxp://mpevalr.ria[.]monster/SmtInfo/show.php.
Indicators of Compromise
URLs
- http://mpevalr.ria.monster/SmtInfo/demo.txt
- http://mpevalr.ria.monster/SmtInfo/show.php
MD5
- 0f41d386e30e9f5ae5be4a707823fd78
- 726af41024d06df195784ae88f2849e4
- 89c0e93813d3549efe7274a0b9597f6f
- 9f560c90b7ba6f02233094ed03d9272e