AhnLab Security (ASEC) подтвердил факт распространения вредоносной программы в виде пакетного файла (*.bat). Эта вредоносная программа предназначена для загрузки различных скриптов, основанных на процессе защиты от вредоносного ПО, включая продукты компании "АнЛаб", установленные в среде пользователя. Судя по названиям функций, используемых вредоносной программой, и параметрам загружаемых URL, предполагается, что она была распространена группой Kimsuky.
Kimsuky APT
Хотя точный путь распространения вредоносной программы не подтвержден, похоже, что она распространяется по электронной почте.Обнаруженные пакетные файлы были замаскированы под просмотрщики документов для таких программ, как Word и HWP.
При выполнении пакетного файла он получает доступ к Google Drive и Docs через команду "explorer". При этом выполняется загрузка файла документа в Google Docs или Drive, что создает видимость выполнения программы-просмотрщика. Выполненные документы чаще всего содержат контент, связанный с вооруженными силами или унификацией.
После этого он использует команду "wmic" для определения различных процессов защиты от вредоносного ПО. В зависимости от типа процесса защиты, запущенного в среде пользователя, агент угроз загружает различные скрипты.
Чтобы заменить шаблон документа по умолчанию Normal.dotm, угрожающий агент завершает процесс Word и загружает файл dotm с адреса hxxp://joongang[.]site/pprb/sec/ca.php?na=dot_kasp.gif. Затем они заменяют файл Normal.dotm на загруженный файл. Загруженный файл Normal.dotm содержит встроенный VBA-код, который запускает cmd.exe в скрытом окне, как показано ниже. В настоящее время он просто выполняет cmd.exe, но в зависимости от намерений угрожающего агента могут быть выполнены различные команды.
После этого он загружает файл "video.vbs" с сайта hxxp://joongang[.]site/pprb/sec/ca.php?na=reg0.gif и регистрирует его в следующем реестре для обеспечения непрерывного выполнения.
Реестр: HKEY_CURRENT_USER\Software\Microsoft\Command Processor
Имя: AutoRun .
Значение: wscript.exe c:\users\public\videos\video.vbs
При выполнении файла "video.vbs" проверяется, существует ли файл с именем "qwer.gif" в папке %appdata%\Microsoft. Если файл существует, он переименовывает его в "qwer.bat" и затем выполняет его. Если файл "qwer.gif" не существует, то он загружается и исполняется с адреса hxxp://joongang[.]site/pprb/sec/d.php?na=battmp.
Агент угроз загружает дополнительный скрипт с адреса hxxp://joongang[.]site/pprb/sec/ca.php?na=sh_ava.gif и сохраняет его в папке запуска программ под именем onenote.vbs, чтобы обеспечить его постоянный запуск.
Когда файл "onenote.vbs" выполняется, он использует WMI для сбора описания Win32_Battery и Win32_Process. Он также выполняет загрузку и регистрацию ключа запуска ранее упомянутого файла "video.vbs".
Кроме того, он изменяет расположение или свойства ярлыков (*.lnk-файлов) браузера и электронной почты, находящихся в определенной папке. Модификация производится таким образом, что при нажатии пользователем на файл ярлыка для запуска Outlook или браузера также выполняется вредоносная команда угрожающего агента.
Для этого угрожающий агент перемещает файлы быстрого доступа к браузеру и электронной почте из папки C:\Users\Public\Desktop в папку C:\Users\[имя пользователя]\Desktop\[имя файла]. Затем они изменяют аргументы в свойствах файлов быстрого доступа, которые существуют в папках, указанных в таблице ниже.
На момент анализа файл onenote.vbs, загруженный при подтверждении процесса Avast, не содержал [команду, заданную угрожающим агентом]. Однако различные вредоносные команды все равно могут быть выполнены в соответствии с намерениями угрожающего агента.
После этого собранная ранее информация передается по адресу hxxps://joongang[.]site/pprb/sec/r.php. Передаваемые данные выглядят следующим образом.
Эта процедура аналогична той, что происходит при идентификации процесса Avast. С адреса hxxps://joongang[.]site/pprb/sec/ca.php?na=sh_vb.gif загружается дополнительный файл скрипта и сохраняется в папке программ запуска под именем onenote.vbs.
Вышеупомянутый файл сценария выполняет ту же функциональность, что и описанный ранее onenote.vbs (?na=sh_ava.gif). Однако загруженный с сайта hxxps://joongang[.]site/pprb/sec/ca.php?na=sh_vb.gif файл onenote.vbs содержит [команду, заданную агентом угроз], которая входит в состав аргументов, используемых при изменении свойств файлов ярлыков.
Таким образом, каждый раз, когда пользователь запускает файл быстрого доступа для браузера или Outlook, скрипт, расположенный по адресу hxxps://joongang[.]site/pprb/sec/t1.hta, сохраняется и выполняется как %appdata%\1.vbs.
В дальнейшем, кроме случаев идентификации процессов Касперского (avpui.exe, avp.exe) и Avast (avastui.exe, avgui.exe), дополнительные скрипты загружаются с сайта hxxps://joongang[.]site/pprb/sec/ca.php?na=vbs.gif и сохраняются как asdfg.vbs в папке %appdata%.
Загруженный файл asdfg.vbs зарегистрирован в планировщике задач как CleanupTemporaryState и запланирован на выполнение каждые 41 минуту.
Как и файл video.vbs, файл asdfg.vbs загружает и выполняет дополнительные скрипты с сайта hxxps://joongang[.]site/pprb/sec/d.php?na=battmp.
На момент анализа такое поведение, как загрузка исполняемых файлов, не наблюдалось. Однако из-за особенностей загрузки и выполнения различных скриптов существует вероятность осуществления дополнительных неидентифицированных вредоносных действий на основе команд, содержащихся в скриптах. Кроме того, угрожающий агент заменил шаблон документа по умолчанию Normal.dotm, а также модифицировал файлы ярлыков браузера и электронной почты. Поэтому, поскольку существует вероятность установки вредоносных скриптов при выполнении файлов ярлыков (*.lnk) документов Word, интернет-браузеров типа Chrome и Outlook, рекомендуется соблюдать особую осторожность.
Indicators of Compromise
URLs
- http://joongang.site/doc/
- http://joongang.site/docx/
- http://joongang.site/pprb/sec/
- http://namsouth.com/gopprb/OpOpO/
- http://staradvertiser.store/signal/
MD5
- 00119ed01689e76cb7f33646693ecd6a
- 7d79901b01075e29d8505e72d225ff52
- 8536d838dcdd026c57187ec2c3aec0f6
- a7ac7d100184078c2aa5645552794c19