Аналитический центр AhnLab SEcurity (ASEC) недавно обнаружил, что штаммы вредоносного ПО загружаются в системы, когда пользователи пытаются загрузить программы безопасности с веб-сайта корейской строительной ассоциации. Для использования услуг сайта требуется вход в систему, а для входа в систему необходимо установить различные программы безопасности.
TrollAgent Stealer
Среди программ, которые необходимо установить для входа в систему, одна из программ установки содержала вредоносные штаммы. Когда пользователь загружает и устанавливает инсталлятор, вместе с программой безопасности устанавливаются и штаммы вредоносного ПО.
При этом устанавливаются следующие два типа вредоносных программ: бэкдор, получающий команды извне и выполняющий их, и Infostealer, собирающий информацию с зараженных систем. Таким образом, пользователи могут стать жертвами кражи учетных данных, просто установив защитные программы с официального сайта.
При попытке входа на веб-сайт организации он предлагает пользователям сначала установить программы безопасности (см. рис. 1 ниже). Среди необходимых программ безопасности "NX_PRNMAN" загружает установщик, содержащий вышеупомянутые штаммы вредоносного ПО. Этот конкретный метод основан на времени анализа в середине января 2024 года. Ранее, примерно в декабре 2023 года, штаммы вредоносного ПО были включены в программу безопасности "TrustPKI" и распространялись через нее. Согласно результатам внутреннего тестирования, модифицированный установщик загружается на сайт только в определенные временные промежутки, и атакам подвергаются только те, кто скачивает файл в этот конкретный промежуток времени. Судя по количеству модифицированных инсталляторов, собранных AhnLab, было зафиксировано более 3 000 случаев заражения.
Программа установки упакована VMProtect и подписана действительным сертификатом от "D2Innovation", корейской оборонной компании. Судя по всему, угрожающий агент украл действительный сертификат, чтобы обойти обнаружение антивирусного продукта на этапе загрузки веб-браузера или выполнения файла.
Вредоносный инсталлятор устанавливает не только вредоносное ПО, но и настоящую легитимную программу безопасности. Вредоносные штаммы запускаются в фоновом режиме, что не позволяет пользователям понять, что их системы были заражены. После запуска программы установки "NX_PRNMAN" вредоносные штаммы устанавливаются вместе с легитимными файлами в каталог %APPDATA% и запускаются процессом rundll32.exe.
Обратите внимание, что установщик "NX_PRNMAN" превратился во вредоносное ПО в январе 2024 года. Ранее, примерно в декабре 2023 года, для установки тех же штаммов вредоносного ПО использовался инсталлятор "TrustPKI". Оба вредоносных инсталлятора были подписаны одним и тем же сертификатом от "D2Innvation".
"TrustPKI" - первый обнаруженный вредоносный код, подписанный действующим сертификатом "D2Innovation". Это был замаскированный зловред, созданный 12 декабря 2023 года, а последним замаскированным зловредом является "NX_PRNMAN", разработанный 11 января 2024 года.
Indicators of Compromise
URLs
- http://ai.aerosp.p-e.kr/index.php
- http://ai.bananat.p-e.kr/index.php
- http://ai.daysol.p-e.kr/index.php
- http://ai.kimyy.p-e.kr/index.php
- http://ai.kostin.p-e.kr/index.php
- http://ai.limsjo.p-e.kr/index.php
- http://ai.negapa.p-e.kr/index.php
- http://ai.selecto.p-e.kr/index.php
- http://ai.ssungmin.p-e.kr/index.php
- http://ar.kostin.p-e.kr/index.php
- http://ca.bananat.p-e.kr/index.php
- http://ce.aerosp.p-e.kr/index.php
- http://coolsystem.co.kr/admin/mail/index.php
- http://dl.netup.p-e.kr/index.php
- http://li.ssungmin.p-e.kr/index.php
- http://ol.negapa.p-e.kr/index.php
- http://pe.daysol.p-e.kr/index.php
- http://pi.selecto.p-e.kr/index.php
- http://qa.jaychoi.p-e.kr/index.php
- http://qi.limsjo.p-e.kr/index.php
- http://sa.netup.p-e.kr/index.php
- http://ve.kimyy.p-e.kr/index.php
- http://viewer.appofficer.kro.kr/index.php
MD5
- 013c4ee2b32511b11ee9540bb0fdb9d1
- 035cf750c67de0ab2e6228409ac85ea3
- 19c2decfa7271fa30e48d4750c1d18c1
- 27ef6917fe32685fdf9b755eb8e97565
- 2aaa3f1859102aab35519f0d4c1585dd
- 2b678c0f59924ca90a753daa881e9fd3
- 4168ff8b0a3e2f7e9c96afb653d42a01
- 4222492e069ac78a55d3451f4b9b9fca
- 42ea65fda0f92bbeca5f4535155125c7
- 6097d030fe6f05ec0249e4d87b6be4a6
- 62fba369711087ea37ef0b0ab62f3372
- 7457dc037c4a5f3713d9243a0dfb1a2c
- 7b6d02a459fdaa4caa1a5bf741c4bd42
- 87429e9223d45e0359cd1c41c0301836
- 88f183304b99c897aacfa321d58e1840
- 8d4af59eebdcda10f3c88049bb097a3a
- 9360a895837177d8a23b2e3f79508059
- 9e75705b4930f50502bcbd740fc3ece1
- a67cf9add2905c11f5c466bc01d554b0
- b532f3dcc788896c4844f36eb6cee3d1
- b97abf7b17aeb4fa661594a4a1e5c77f
- c8e7b0d3b6afa22e801cacaf16b37355
- d67abe980a397a94e1715df6e64eedc8
- dc636da03e807258d2a10825780b4639
- e4a6d47e9e60e4c858c1314d263aa317