TrollAgent Stealer IOCs

Spyware IOC
Опубликовано

Аналитический центр AhnLab SEcurity (ASEC) недавно обнаружил, что штаммы вредоносного ПО загружаются в системы, когда пользователи пытаются загрузить программы безопасности с веб-сайта корейской строительной ассоциации. Для использования услуг сайта требуется вход в систему, а для входа в систему необходимо установить различные программы безопасности.

TrollAgent Stealer

Среди программ, которые необходимо установить для входа в систему, одна из программ установки содержала вредоносные штаммы. Когда пользователь загружает и устанавливает инсталлятор, вместе с программой безопасности устанавливаются и штаммы вредоносного ПО.

При этом устанавливаются следующие два типа вредоносных программ: бэкдор, получающий команды извне и выполняющий их, и Infostealer, собирающий информацию с зараженных систем. Таким образом, пользователи могут стать жертвами кражи учетных данных, просто установив защитные программы с официального сайта.

При попытке входа на веб-сайт организации он предлагает пользователям сначала установить программы безопасности (см. рис. 1 ниже). Среди необходимых программ безопасности "NX_PRNMAN" загружает установщик, содержащий вышеупомянутые штаммы вредоносного ПО. Этот конкретный метод основан на времени анализа в середине января 2024 года. Ранее, примерно в декабре 2023 года, штаммы вредоносного ПО были включены в программу безопасности "TrustPKI" и распространялись через нее. Согласно результатам внутреннего тестирования, модифицированный установщик загружается на сайт только в определенные временные промежутки, и атакам подвергаются только те, кто скачивает файл в этот конкретный промежуток времени. Судя по количеству модифицированных инсталляторов, собранных AhnLab, было зафиксировано более 3 000 случаев заражения.

Программа установки упакована VMProtect и подписана действительным сертификатом от "D2Innovation", корейской оборонной компании. Судя по всему, угрожающий агент украл действительный сертификат, чтобы обойти обнаружение антивирусного продукта на этапе загрузки веб-браузера или выполнения файла.

Вредоносный инсталлятор устанавливает не только вредоносное ПО, но и настоящую легитимную программу безопасности. Вредоносные штаммы запускаются в фоновом режиме, что не позволяет пользователям понять, что их системы были заражены. После запуска программы установки "NX_PRNMAN" вредоносные штаммы устанавливаются вместе с легитимными файлами в каталог %APPDATA% и запускаются процессом rundll32.exe.

Обратите внимание, что установщик "NX_PRNMAN" превратился во вредоносное ПО в январе 2024 года. Ранее, примерно в декабре 2023 года, для установки тех же штаммов вредоносного ПО использовался инсталлятор "TrustPKI". Оба вредоносных инсталлятора были подписаны одним и тем же сертификатом от "D2Innvation".

"TrustPKI" - первый обнаруженный вредоносный код, подписанный действующим сертификатом "D2Innovation". Это был замаскированный зловред, созданный 12 декабря 2023 года, а последним замаскированным зловредом является "NX_PRNMAN", разработанный 11 января 2024 года.

Indicators of Compromise

URLs

  • http://ai.aerosp.p-e.kr/index.php
  • http://ai.bananat.p-e.kr/index.php
  • http://ai.daysol.p-e.kr/index.php
  • http://ai.kimyy.p-e.kr/index.php
  • http://ai.kostin.p-e.kr/index.php
  • http://ai.limsjo.p-e.kr/index.php
  • http://ai.negapa.p-e.kr/index.php
  • http://ai.selecto.p-e.kr/index.php
  • http://ai.ssungmin.p-e.kr/index.php
  • http://ar.kostin.p-e.kr/index.php
  • http://ca.bananat.p-e.kr/index.php
  • http://ce.aerosp.p-e.kr/index.php
  • http://coolsystem.co.kr/admin/mail/index.php
  • http://dl.netup.p-e.kr/index.php
  • http://li.ssungmin.p-e.kr/index.php
  • http://ol.negapa.p-e.kr/index.php
  • http://pe.daysol.p-e.kr/index.php
  • http://pi.selecto.p-e.kr/index.php
  • http://qa.jaychoi.p-e.kr/index.php
  • http://qi.limsjo.p-e.kr/index.php
  • http://sa.netup.p-e.kr/index.php
  • http://ve.kimyy.p-e.kr/index.php
  • http://viewer.appofficer.kro.kr/index.php

MD5

  • 013c4ee2b32511b11ee9540bb0fdb9d1
  • 035cf750c67de0ab2e6228409ac85ea3
  • 19c2decfa7271fa30e48d4750c1d18c1
  • 27ef6917fe32685fdf9b755eb8e97565
  • 2aaa3f1859102aab35519f0d4c1585dd
  • 2b678c0f59924ca90a753daa881e9fd3
  • 4168ff8b0a3e2f7e9c96afb653d42a01
  • 4222492e069ac78a55d3451f4b9b9fca
  • 42ea65fda0f92bbeca5f4535155125c7
  • 6097d030fe6f05ec0249e4d87b6be4a6
  • 62fba369711087ea37ef0b0ab62f3372
  • 7457dc037c4a5f3713d9243a0dfb1a2c
  • 7b6d02a459fdaa4caa1a5bf741c4bd42
  • 87429e9223d45e0359cd1c41c0301836
  • 88f183304b99c897aacfa321d58e1840
  • 8d4af59eebdcda10f3c88049bb097a3a
  • 9360a895837177d8a23b2e3f79508059
  • 9e75705b4930f50502bcbd740fc3ece1
  • a67cf9add2905c11f5c466bc01d554b0
  • b532f3dcc788896c4844f36eb6cee3d1
  • b97abf7b17aeb4fa661594a4a1e5c77f
  • c8e7b0d3b6afa22e801cacaf16b37355
  • d67abe980a397a94e1715df6e64eedc8
  • dc636da03e807258d2a10825780b4639
  • e4a6d47e9e60e4c858c1314d263aa317
Похожие записи:
  1. Kimsuky APT IOCs
  2. Kimsuky APT IOCs - Part 3
  3. Kimsuky APT IOCs - Part 4
  4. Kimsuky APT IOCs - Part 7
  5. Kimsuky APT IOCs - Part 8
APT ASEC Kimsuky Stealer TrollAgent
Добавить комментарий