Центр экстренного реагирования AhnLab Security (ASEC) недавно обнаружил распространение вредоносного exe-файла, замаскированного под материал, связанный с утечкой персональных данных и направленный на отдельных пользователей. Окончательное поведение этой вредоносной программы наблюдать не удалось, поскольку C2 был закрыт, но она представляет собой бэкдор, получающий обфусцированные команды от атакующего и выполняющий их в формате xml.
При выполнении вредоносного exe-файла в папке %Programdata% создаются файлы в секции .data. Из всех созданных файлов обфусцируются все, кроме легитимного файла doc.
Среди созданных файлов присутствует файл легитимного документа '20231126_9680259278.doc'. Атакующий, вероятно, включил его, чтобы обмануть пользователя и заставить его думать, что он открыл легитимный файл.
Operator.jse создает запись в планировщике задач, которая выполняет файл WindowsHotfixUpdate.jse, который, в свою очередь, запускает файл WindowsHotfixUpdate.ps1. Файл WindowsHotfixUpdate.ps1 получает команды от C2, и предполагается, что эти команды обфусцированы, поскольку было замечено, что jse-файл с именем Lomd02.png деобфусцирует такие команды и загружает их в формате xml.
Хотя дополнительные команды не удалось изучить из-за того, что C2 в данный момент недоступен для доступа, похоже, что в зависимости от команд, отправленных с C2, возможны различные дополнительные атаки.
Поскольку файл-приманка также запускается, обычные пользователи не могут распознать, что их системы заражены вредоносным ПО.
Indicators of Compromise
URLs
- http://gjdow.atwebpages.com/dn.php?name=[Computer name]&prefix=tt
MD5
- 682b5a3c93e107511fdd2cdb8e50389a
- 78ea811850e01544ca961f181030b584
- a93474c3978609c8480b34299bf482b7
- b58eb8a3797d3a52aba30d91d207b688
- d06d1c2ec1490710133dea445f33bd19
- d634cb7b45217ca4fd7eca5685a64f50