Центр экстренного реагирования AhnLab Security Emergency response Center (ASEC) обнаружил, что группа Kimsuky использует Alternate Data Stream (ADS) для скрытия своего вредоносного ПО.
Это вредоносное ПО представляет собой Infostealer, который собирает данные путем запуска VBScript, включенного в HTML-файл. Его можно охарактеризовать тенденцией добавлять реальный код между многочисленными фиктивными кодами.
Для сбора и передачи данных в терминале выполняются следующие команды.
- hostname
- systeminfo
- net user
- query user
- route print
- ipconfig /all
- arp -a
- netstat -ano
- tasklist
- tasklist /svc
- cmd.exe” /c dir “C:\Program Files“
- cmd.exe” /c dir “C:\Program Files (x86)”
- cmd.exe” /c dir “C:\ProgramData\Microsoft\Windows\Start Menu\Programs”
- cmd.exe” /c dir “C:\Users\Unknown\AppData\Roaming\Microsoft\Windows\Recent”
Кроме того, после декодирования данных, которые были закодированы в HEX, они сохраняются как ".Uso2Config.conf" в каталоге "C:\ProgramData\Uso2" перед регистрацией планировщика, который бесконечно повторяется каждую минуту.
Расшифрованный файл представляет собой скрипт для поддержания постоянства, который подключается к C2 и выполняет дополнительный скрипт. Однако ":honeyT" присоединяется и сохраняется в конце при сохранении ".Uso2Config.conf". Это создает ADS.
Расшифрованный файл представляет собой скрипт для поддержания постоянства, который подключается к C2 и выполняет дополнительный скрипт. Однако ":honeyT" присоединяется и сохраняется в конце при сохранении ".Uso2Config.conf". Это создает ADS.
При сохранении таким способом размер файла при просмотре в каталоге отображается как 0 байт.
Поскольку методы атаки постоянно меняются с каждым днем, пользователям настоятельно рекомендуется проявлять повышенную осторожность.
Indicators of Compromise
Domains
- zetaros.000webhostapp.com
MD5
- aca61a168d95c5f72b8e02650f727000
- ec3c0d9cbf4e27e0240c5b5d888687ec