Аналитический центр AhnLab Security (ASEC) обнаружил группу Kimsuky, которая распространяет вредоносное ПО под видом программы установки, принадлежащей к корейскому государственному учреждению. Вредоносное ПО представляет собой дроппер, который создает бэкдор Endoor. Хотя данных о реальных атаках с использованием дроппера нет, был зафиксирован случай атаки, в которой использовался созданный дроппером бэкдор. Этот бэкдор используется для загрузки дополнительного вредоносного ПО и выполнения задач, связанных с процессами. Endoor также был использован в других атаках вместе с Nikidoor.
Дроппер, замаскированный под установщик из корейского государственного учреждения, создает бэкдор с помощью инструмента WinRAR. Бэкдор копирует себя и запускается с аргументом "install". После этого бэкдор подключается к C&C-серверу для выполнения команд.
Китайский центр разведки угроз QiAnXin опубликовал анализ вредоносного ПО Endoor, который обладает функциями выполнения команд, загрузки и выгрузки файлов и прокси-сервера Socks5.
Также были обнаружены примеры атак, в которых использовался другой бэкдор, Nikidoor. Оба бэкдора использовали адрес "ngrok-free[.]app" в качестве C&C-сервера.
Indicators of Compromise
URLs
- http://210.16.120.210/rdpclip.dat
- http://minish.wiki.gd/c.pdf
- http://minish.wiki.gd/eng.db
- http://minish.wiki.gd/index.php
- http://minish.wiki.gd/upload.php
- https://fitting-discrete-lemur.ngrok-free.app/minish/index.php
- https://real-joey-nicely.ngrok-free.app/mir/index.php
MD5
- 7034268d1c52539ea0cd48fd33ae43c4
- 7beaf468765b2f1f346d43115c894d4b
- b74efd8470206a20175d723c14c2e872
- b8ffb0b5bc3c66b7f1b0ec5cc4aadafc
- f03618281092b02589bca833f674e8a0