Аналитический центр AhnLab Security (ASEC) подтвердил распространение файлов-ярлыков (*.LNK) ненормального размера, в которых содержится вредоносное ПО бэкдор. Файлы-ярлыки нацелены на южнокорейских пользователей, особенно на тех, кто связан с Северной Кореей. При выполнении файлов-ярлыков запускаются команды PowerShell для создания и выполнения файла легитимного документа. После этого создаются 3 файла в папке %public%, которые выполняются и выполняют вредоносную программу RokRAT.
RokRAT - это бэкдор, который использует облачные сервисы, такие как pCloud, Yandex и DropBox, для передачи собранной информации на сервер угрожающего агента. Вредоносные действия, которые могут быть выполнены по команде угрожающего агента, включают выполнение команд cmd, сбор списков каталогов, удаление определенных файлов, сбор информации о ПК и многое другое. Собранная информация сохраняется в папке %TEMP% перед загрузкой на "облачный" сервер.
Indicators of Compromise
Emails
- softpower21cs@gmail.com
- tanessha.samuel@gmail.com
- tianling0315@gmail.com
- w.sarah0808@gmail.com
MD5
- 3114a3d092e269128f72cfd34812ddc8
- 35441efd293d9c9fb4788a3f0b4f2e6b
- 358122718ba11b3e8bb56340dbe94f51
- 68386fa9933b2dc5711dffcee0748115
- 6e5e5ec38454ecf94e723897a42450ea
- b85a6b1eb7418aa5da108bc0df824fc0
- bd07b927bb765ccfc94fadbc912b0226
- bd98fe95107ed54df3c809d7925f2d2c