Cyble Research Labs постоянно отслеживает возникающие угрозы и механизмы их доставки. Наблюдаеся всплеск использования .lnk-файлов различными семействами вредоносных программ.
Среди распространенных семейств вредоносных программ, использующих файлы .lnk для доставки полезной нагрузки, в последнее время можно назвать следующие:
Кроме того, Cyble Research Labs наблюдали множество случаев APT, когда исполнители угроз (TA) использовали .lnk-файлы для первоначального выполнения и доставки полезной нагрузки.
Файлы .lnk - это файлы ярлыков, которые ссылаются на другие файлы, папки или приложения для их открытия. TAs использует файлы .lnk и сбрасывает вредоносную полезную нагрузку с помощью LOLBins. LOLBins (Living off the Land Binaries) - это двоичные файлы, встроенные в операционные системы, такие как PowerShell и mshta. TA могут использовать эти типы двоичных файлов, чтобы обойти механизмы обнаружения, поскольку эти двоичные файлы доверяются операционным системам.
В ходе деятельности по OSINT (Open Source Intelligence), Cyble Research Labs наткнулась на новый. lnk builder под названием "Quantum Software/Quantum Builder".
Quantum Software/Quantum Builder
Quantum Builder может подделать любое расширение и имеет более 300 различных иконок для вредоносных .lnk файлов.
Полезную нагрузку .hta можно создать с помощью Quantum Builder, настроив такие параметры, как URL-адрес полезной нагрузки, поддержка DLL, обход UAC, путь выполнения и временная задержка для выполнения полезной нагрузки и т.д. Билдер вставляет сгенерированную полезную нагрузку .hta и создает новый .lnk-файл и предоставляет различные значки в качестве опции при создании .lnk файла.
В конце этого процесса с помощью конструктора .iso создается образ .iso, содержащий файл .lnk для дальнейшей доставки по электронной почте и выполнения.
Исследованный образец, подключается к домену с именем "quantum-software.online"; этот же домен использовался компанией quantum TA.
Этот образец представляет собой файл Windows Shortcut (.LNK). По умолчанию Windows скрывает расширение .lnk, поэтому если файл назван как file_name.txt.lnk, то только file_name.txt будет виден пользователю, даже если включена опция show file extension. По таким причинам это может быть привлекательным вариантом для TA, использующих файлы .lnk в качестве маскировки или дымовой завесы.
После выполнения файл .Ink запускает вредоносный код PowerShell, который исполняет файл .hta, размещенный на удаленном сайте с помощью mshta.
В этом сценарии используется функция, которая деобфусцирует вредоносный сценарий PowerShell. Функция выполняет математическую операцию, которая преобразует числовое значение в символы. На рисунке ниже показаны деобфусцированные данные.
Indicators of Compromise
Domains
- quantum-software.online
URLs
- https://quantum-software.online/remote/bdg.hta
MD5
- 04e8a5c6e5797b0f436ca36452170a2f
- 52b0b06ab4cf6c6b1a13d8eec2705e3b
SHA1
- 924be824edb54f917d52e43a551c0eb2848cad8f
- dfdde88da020e584038d2656d0e3d48cfae27b1a
SHA256
- 2f6c1def83936139425edfd611a5a1fbaa78dfd3997efec039f9fd3338360d25
- b9899082824f1273e53cbf1d455f3608489388672d20b407338ffeecefc248f1