Kimsuky APT IOCs

security IOC

Центр экстренного реагирования AhnLab Security Emergency response Center (ASEC) недавно обнаружил вредоносную программу CHM, которая, как предполагается, была создана группой Kimsuky.

CHM-файл был сжат и распространяется как вложение в электронное письмо. Первое письмо, которое отправляется по электронной почте, притворяется запросом на интервью по вопросам, связанным с Северной Кореей. Если получатель письма соглашается на интервью, то в качестве вложения отправляется защищенный паролем сжатый файл. Это письмо, выдающее себя за интервью по вопросам, связанным с Северной Кореей, не только идентично ранее проанализированному, но и имеет тот же формат отправки вредоносного файла только после того, как получатель ответит на письмо.

При выполнении файла InterviewQuestionnaire(***).chm появляется справочный документ с реальными вопросами, поэтому пользователям трудно понять, что файл является вредоносным.

CHM содержит вредоносный скрипт, и, как и вредоносная программа CHM, рассмотренная ранее, он использует объект ярлыка (ShortCut). Объект ярлыка вызывается через метод Click, и выполняется команда в Item1. Команда, выполняемая через 'InterviewQuestionnaire(***).chm', выглядит следующим образом.

Таким образом, закодированная команда сохраняется в %USERPROFILE%\Links\Document.dat при выполнении CHM. Команда, которая была декодирована Certutil, сохраняется в %USERPROFILE%\Links\Document.vbs. Угроза также зарегистрировала Document.vbs в ключе Run (HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run), чтобы обеспечить постоянный запуск вредоносного скрипта. В конечном итоге, Document.vbs выполняет сценарий PowerShell в hxxp://mpevalr.ria[.]monster/SmtInfo/demo.txt.

URL, к которому подключается Document.vbs, в настоящее время недоступен, но сценарий, который, предположительно, был загружен с этого адреса, был найден. Подтвержденный файл скрипта отвечает за перехват ключевых вводов пользователя перед сохранением их в определенном файле и отправкой этого файла агенту угрозы. Помимо чтения заголовка текущего запущенного окна ForegroundWindow и перехвата нажатий клавиш, он периодически проверяет содержимое буфера обмена и сохраняет его в файл %APPDATA%\Microsoft\Windows\Templates\Pages_Elements.xml. Затем он отправляет этот файл на hxxp://mpevalr.ria[.]monster/SmtInfo/show.php.

Indicators of Compromise

URLs

  • http://mpevalr.ria.monster/SmtInfo/demo.txt
  • http://mpevalr.ria.monster/SmtInfo/show.php

MD5

  • 0f41d386e30e9f5ae5be4a707823fd78
  • 726af41024d06df195784ae88f2849e4
  • 89c0e93813d3549efe7274a0b9597f6f
  • 9f560c90b7ba6f02233094ed03d9272e
SEC-1275-1
Добавить комментарий