Недавно простое и короткое письмо с подозрительным RTF-вложением, отправленное в телекоммуникационное агентство в Южной Азии, привлекло внимание FortiGuard Labs. Письмо было замаскировано под письмо от пакистанского правительственного подразделения и содержало вредоносную программу PivNoxy.
PivNoxy Malware
Прикрепленный файл doc имеет формат RTF. Он был создан с помощью инструмента под названием Royal Road - фишингового "оружейника", который, как полагают, используется несколькими азиатскими субъектами APT-угроз. Также называемый 8.t RTF exploit builder, Royal Road позволяет группам APT создавать файлы RTF со встроенными объектами, которые могут использовать уязвимости в Microsoft Word для заражения целей. Некоторые из известных уязвимостей, которые поддерживает Royal Road, включают:
- CVE-2017-11882 (Уязвимость повреждения памяти Microsoft Office)
- CVE-2018-0802 (Уязвимость повреждения памяти Microsoft Office)
- CVE-2018-0798 (Уязвимость повреждения памяти Microsoft Office)
При открытии вложения электронной почты открывается ложный документ Word. И в то же время в фоновом режиме эксплуатирует CVE-2018-0798. CVE-2018-0798 - это уязвимость удаленного выполнения кода (RCE) в редакторе уравнений Microsoft (EQNEDT32). Microsoft выпустила исправление для нее 9 января 2018 года. Тот факт, что злоумышленники по-прежнему используют эту уязвимость, говорит о том, что не все организации устанавливают критические исправления или обновляют программное обеспечение до последней версии. Правда заключается в том, что старые уязвимости по-прежнему часто и успешно эксплуатируются.
После выполнения вредоносный документ создает три файла:
- C:\\\ProgramData\Cannon\Cannondriver.exe
- C:\\\ProgramData\Cannon\LBTServ.dll
- C:\\\ProgramData\Cannon\Microsoft.BT
Несмотря на обманчивое имя файла, Cannondriver.exe является легитимным файлом Logitech, LBTWizGi.exe, с описанием "Logitech Bluetooth Wizard Host Process". Cannondriver.exe даже подписан цифровым сертификатом, выданным Logitech.
С другой стороны, файл LBTServ.dll не имеет цифровой подписи. Вот тут-то и становится интересно. "Cannondriver.exe" уязвим к атаке перехвата порядка поиска DLL, которой пользуется LBTServ.dll. Обратите внимание, что образец "LBTServ.dll", используемый в этой атаке, имеет время компиляции Sun July 18 02:04:24 2021 GMT. Это означает, что данная группа создала этот вариант задолго до того, как им понадобилось его использовать. Это говорит о том, что они либо были готовы атаковать свою цель почти за год до этого, либо начали накапливать арсенал вредоносных программ, готовых к использованию в любой момент. Недавние образцы Chinoxy, которые оставались под радаром, но были обнаружены в ходе нашего расследования, имеют аналогичное время компиляции.
После того как Cannondriver.exe загружает поддельную LBTServ.dll и вызывает функцию LGBT_Launch, вредоносная функция загружает в память другой сброшенный файл, Microsoft.BT, и приступает к его расшифровке. Цепочка атак похожа на ту, что используется бэкдором Chinoxy, который также использует Cannondriver.exe для загрузки вредоносной LBTServ.dll для доставки своей полезной нагрузки.
Однако этот вариант, отправленный в телекоммуникационное агентство в Южной Азии, доставляет конечную полезную нагрузку несколько иначе, чем его предшественники. Вместо LBTServ.dll, содержащей конечную полезную нагрузку, она загружает шеллкод из отдельного файла и внедряется в svchost.exe. Затем он связывается с instructor[.]giize[.]com, динамический DNS перенаправляет соединение на IP злоумышленника, где размещена полезная нагрузка.
Indicators of Compromise
IPv4
- 58.64.184.201
Domains
- 784kjsuj.dynamic-dns.net
- agoog1eupdate.com
- beautygirl.dynamic-dns.net
- cdn.cloudistcdn.com
- eofficeupdating.com
- frontbeauty.dynamic-dns.net
- instructor.giize.com
- mfaupdate.com
- myhost.camdvr.org
- q.cloudistcdn.com
SHA256
- 07a37e52533bf26f5d506c69e748f479de5dcd416103f8d7a4a06c948e1051ad
- 152f95a5bdf549c5ca789d0dd99d635ee69cca6fe464ced5b39d0316707a4914
- 289ce24d873986d607ab8e43f499be562fa4925d2b5be16bb31ce68a00b4020a
- 2bebd0989d1d8c6bb681217399281640521d61ce207f358a4340377898ed44c5
- 399563e798edd4a9e1a89209b1b350a4e1197786c23c0986a1a965446e7d5474
- 3c9d802f617aab4c6973cef74d2509fea00ee8454681c40df09a4734946e5125
- 3f21e0b3ef80fd9393c6e187311a78aee22738f510ed227397249157b131b890
- 4d9af80dad6dcdfe37931094c42296d53ef6d98b633db32503d7972fd7e0e3f6
- 5137bc35b042c0ea2ad56f3b0e03191e840cce9e9dadb470d6a7a018f3a1a4fb
- 53c7ab494527a8118f89ba99dea51b223f98e368e687f42d31925945b0282e87
- 59ea7516b2a028e5cad938534099f45b5d28f7cfa32d268a8bdcbe5f6320b5a6
- 5c2a6b11d876c5bad520ff9e79be44dfbb05ee6a6ff300e8427deab35085bef6
- 6485d76e645d2f7e27a20d072f07c282583f21ec42801de588193d01b591a957
- 6a8ba940d40be935ffc623b5fadfdb4537c1787fedf5889021b0ceb65dfa809d
- 6ab62f7cd1c4a00c200cd130afa7352bb6e536e324cb9ead13e01e54146bb112
- 6f7f142089b1d2e48880f59362c7c50e5d193166bdd5e4b27318133e8fe27b2c
- 719f25e1fea12c8dc573e7161458ce7a5b6683dee3a49bb21a3ec838d0b35dd3
- 72a7341805713327f09f881bc7184610ed28101bfbda93fd829d0d52978c22eb
- 75f7b6197d648eaa8263d23c8f9aa9224038259d25df073803929d6582ea27b1
- 82f8cf41aa720e268ee0c6e43cd52512ea4a2f98a51844071e0faaf1eb13ce62
- 86c563a8630150934ae7468e074f81914d26b978c32571ce9f4d9b349dc03349
- 8ceb84e33db56092618f763771630b0759d7122d5df5afaeb4c1ebc9e72ed7f1
- 8d7d259ac375171c59ac81ba9a16949ac7277c8ed3841c229ce48def0358c96e
- 8dfda79f7848a41f0a8f7a68096fcb6783ace3f3430ae3d7d05fed1ad4533fe0
- 947760b4f688863708741457297d74810ad45e20e2c02d91b54b056716803777
- 9f93a50cadd762d36788ce1c8d5deb2d26e109f717f3e2d4d5c8f0d3344de725
- a33dcbd2ccf291ebd465bfcd6a9be10b3d6c0d89fa5ee0038a2e41fbd6c0397d
- a4cbae07c1d674d41c1297be4e0c19b2f138c2ef29db16b5edc528026dc4e717
- a557eed41c5e021209c7e3a3eada10abf43e2bfabf930552b6cb7a4b7568b971
- a638cce32a01f63febe2d21b02ef9f6f6c6c59e2107a043eb2ae547ff9a1d776
- a8c21cb9dea1c9bc62adcc6de4a73c7971ea797ab4fdb93320532647625e22ba
- a8d92ace0ea438759428877a32cd92f73790d86d0e3384317c04a9ae4ed30c55
- a8f1e7eccae75e840b1d6982b06ee322ceaed65ade23a10d17c8414e5a522110
- ab49e15c0a0e4f977748faae36255889c2239cde847ed49304881c123b9a0e99
- af7d3f46c32f4040dbfb6f85d6db1471e29c4a9290654d3f44351e316f05fba5
- b0ad5af44a0a07a2408e9a6b4e4a27e366aa64350ff60f398d1b8086172034f6
- c25ae716a651c7c846871275bfde7188224628e3380fd6f256aacba1cb15ad61
- c44be5ed5c4bec2be72ce9737bde5a2d48fe5fb0ea235ddc61ba447b26642949
- c8934c7b3187e48b1ee44fc2c8e1c3ab19850efc1e45383442cfe4b9b4a06d01
- cdf417e67b0aaf798ac7c0f9ccb8b5b21f09b408ee6748beea5e03e76902e7fe
- d49c0d6113a9928486e35a7013d9c09a52743bd8fe84712e27c54fcac9b9e31e
- d59278ff54d30176263deadcb7d21ba6f9b7eb1139e3dcd6f7ea534183f96c92
- d863f559ba323625f20721e910bf920ee73a5303f6edadbec2aa670b640e01c8
- e537b6eb903d9bb9b3cb0e63f9fddf2afa0875af7558b5bec3c98cebf1452e01
- f229239ed7665338961eec60a17bcca0fed1eb957b0e751dd991ce664140d79c
- f309b42845ca3e36e0bb6ec68f424a11ff8f77642afc3bd4425118dc0d2514e0
- f8a8ccfa6426f27da75649dbef26213aae6137f726d29232e45e4183391016bf