Вредоносная программа OneNote маскируется под форму компенсации (Kimsuky)

security IOC

Центр экстренного реагирования AhnLab Security Emergency response Center (ASEC) обнаружил распространение вредоносной программы OneNote, замаскированной под форму, связанную с компенсацией. Подтвержденный файл выдает себя за тот же исследовательский центр, что и вредоносная программа типа LNK, о которой говорится в сообщении ниже. Основываясь на идентичной вредоносной активности, выполняемой файлами VBS, команда пришла к выводу, что за обоими инцидентами стоит один и тот же угрожающий субъект.

При открытии файла OneNote появляется страница с обсуждением компенсации, которая предлагает пользователям нажать на то, что, по-видимому, является областью, где прикреплен файл HWP.

Если пользователь щелкает по этому сценарию, создается вредоносный VBS-файл и выполняется под именем personal.vbs во временном каталоге. Код созданного VBS-файла делает следующую, обфусцированную команду похожей на аннотацию, после прочтения которой происходит расшифровка и выполнение вредоносной команды.

Расшифрованный код скрипта в конечном итоге обращается к hxxp://delps.scienceontheweb.net/ital/info/list.php?query=1 для выполнения дополнительного кода скрипта. В настоящее время этот URL недоступен, но его формат показывает, что, скорее всего, он выполнял скрипт для кражи информации, подобный тому, что приведен в сообщении ниже.

После этого он загружает и открывает файл HWP из hxxp://delps.scienceontheweb.net/ital/info/sample.hwp с помощью команды PowerShell.

Выполняемая команда PowerShell

Хотя HWP-файл не мог быть загружен во время анализа, предполагается, что для обмана пользователей был использован обычный HWP-файл.

Indicators of Compromise

URLs

  • http://delps.scienceontheweb.net/ital/info/list.php?query=1

MD5

  • aa756b20170aa0869d6f5d5b5f1b7c37
  • f2a0e92b80928830704a00c91df87644
SEC-1275-1
Добавить комментарий