Группа Bitter (T-APT-17) - это группа угроз, которая обычно нацелена на правительственные организации Южной Азии, используя программы Microsoft Office для распространения вредоносных программ, таких как Word или Excel. Центр экстренного реагирования на чрезвычайные ситуации AhnLab Security (ASEC) выявил многочисленные случаи распространения группой вредоносных программ CHM среди некоторых китайских организаций. Файлы CHM использовались различными группами угроз в атаках APT с начала этого года и неоднократно освещались в блогах ASEC.
Bitter (T-APT-17)
Файлы, использованные в недавней атаке, распространялись как вложения в электронные письма в виде сжатых файлов.
При запуске CHM-файлов большинство из них выдают пустое окно справки, но некоторые отображают содержимое, связанное с "Отделом работы Объединенного фронта ЦК Коммунистической партии Китая" и "Российско-китайским комитетом дружбы, мира и развития".
Внутренний вредоносный скрипт, обнаруженный в таких CHM-файлах, выглядит следующим образом. Пользователям трудно понять, как работает вредоносный скрипт. Общая характеристика этого сценария заключается в том, что часть сценария, включающая метод Click, который выполняет связанный объект ярлыка, обфусцирована. В отличие от CHM-файлов, рассмотренных ранее, эта версия, похоже, обходит статическую диагностику с помощью обфускации.
Когда сценарий выполняется, оба типа создают задачу, которая выполняет вредоносную команду. Каждая вредоносная команда подключается к соответствующему URL-адресу, указанному ниже, и выполняет дополнительный вредоносный файл. Оба следующих URL-адреса в настоящее время недоступны, однако был собран MSI-файл, который, предположительно, был загружен с первого URL-адреса.
- hxxps://bluelotus.mail-gdrive[.]com/Services.msi
- hxxps://coauthcn[.]com/hbz.php?id=%computername%
При выполнении MSI-файл генерирует обычный exe-файл и вредоносный DLL-файл перед выполнением первого. Сгенерированные файлы показаны ниже. При выполнении MicrosoftServices.exe загружается OLMAPI32.dll. Загруженная DLL является вредоносным файлом, созданным агентом угрозы. Был использован метод боковой загрузки DLL (T1574.002).
Особенности загруженной вредоносной DLL заключаются в следующем. Во-первых, она собирает информацию о пользователе с помощью следующих команд и сохраняет ее в файле "c:\Users\Public\cr.dat".
- Информация об IP-адресе
- cmd.exe /c nslookup myip.opendns.com resolver1.opendns.com>> c:\Users\Public\cr.dat
- Информация о системе
- cmd.exe /c systeminfo>> c:\Users\Public\cr.dat
- Информация о директории
- cmd.exe /c dir "%userprofile%\Documents">> c:\Users\Public\cr.dat
- cmd.exe /c dir "%userprofile%\Desktop">> c:\Users\Public\cr.dat
- cmd.exe /c dir "%userprofile%\Downloads">> c:\Users\Public\cr.dat
После этого для поддержания постоянства создается задача, которая запускает MicrosoftServices.exe под именем "Microsoft Update".
Кроме того, он пытается подключиться к следующему серверу C2 и может выполнять различные вредоносные действия по командам агента угрозы.
- msdata.ddns[.]net:443
В последнее время наблюдается рост атак с использованием файлов CHM как в Корее, так и за рубежом, и этот формат файлов используется для различных вредоносных программ. Пользователи должны тщательно проверять отправителей электронных писем и воздерживаться от открытия файлов из неизвестных источников. Они также должны проводить регулярные проверки ПК и всегда обновлять свои продукты безопасности до последней версии.
Indicators of Compromise
Domain Port Combinations
- msdata.ddns.net:443
URLs
- https://bluelotus.mail-gdrive.com/Services.msi
- https://coauthcn.com/hbz.php?id=%computername%
MD5
- 09a9e1b03f7d7de4340bc5f9e656b798
- 8b15c4a11df2deea9ad4699ece085a6f
- a7e8d75eae4f1cb343745d9dd394a154
- cce89f4956a5c8b1bec82b21e371645b