Недавно специалисты FortiGuard Labs столкнулись с непритязательным фишинговым письмом, которое оказалось намного больше, чем казалось на первый взгляд. Написанное на русском языке, оно пытается заманить получателя и заставить его установить вредоносное ПО на свою систему. Действия, используемые для реализации этой стратегии, соответствуют предыдущим экземплярам Konni, инструмента удаленного администрирования (RAT), который был связан с группой APT 37 (она же Ricochet Chollima, InkySquid, ScarCruft, Reaper и Group123). Известно, что эта группа согласовывает свои цели и задачи с целями правительства Корейской Народно-Демократической Республики (КНДР).
Konni RAT
Как уже говорилось, письмо непритязательно и обтекаемо. Оно стремится выглядеть официальным, подделывая адрес Генерального консульства России в Шэньяне, Китай. Оно направлено на другой российский правительственный адрес.
Интересно, что тема сообщения - "Re: Посольство России в Японии". Этот прием включения в письмо предыдущей темы обычно используется для того, чтобы вызвать у получателя больше доверия.
Основной текст письма просит получателя проверить прикрепленные реквизиты, чтобы выполнить запрос на перевод средств между отправителем и получателем.
К письму прилагается Zip-архив "Donbass.zip".
В архиве Zip содержатся два файла Microsoft PowerPoint: "_Pyongyang in talks with Moscow on access to Donbass.pptx" и "Donbass.ppam".
Этот файл PowerPoint на самом деле является обманкой. Слайд-деск содержит новости о встречах на высоком уровне между КНДР и Донецкой Народной Республикой (ДНР). Связи между этими двумя образованиями были освещены основными новостными агентствами примерно в то время, когда был создан этот файл.
PPAM - это формат файла дополнения, используемый Microsoft PowerPoint и обычно требующий открытия приложения. Если это произойдет, будет запущен вредоносный макрос.
Макрос сначала выдает пользователю окно с сообщением, показанным на рисунке 8. Затем, используя командную строку, он помещает большой блок текста в кодировке base 64 в файл под названием "oup.dat", который затем сохраняется в каталоге "temp" пользователя (%TMP%). Используя инструмент Microsoft "Certutil" (https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/certutil), закодированный текст в "oup.dat" затем декодируется в "oup.vbs", файл VBScript, который будет помещен в каталог Microsoft Office (%LOCALAPPDATA%\Microsoft\Office).
"oup.vbs" имеет две цели:
- Первая - это создание запланированной задачи под названием "Office Updatev2.2". Цель этой задачи - постоянный запуск "oup.vbs" раз в 5 минут.
- Второе назначение "oup.vbs" - это выполнение команды PowerShell в кодировке base 64.
Команда PowerShell пытается предоставить некоторую информацию о среде (например, имя машины) и подключиться к URL по адресу gg1593[.]c1[.]biz. Этот домен указывает на IP-адрес185[.]176[.]43[.]106. Однако на момент написания этой статьи командно-контрольный (C2) сервер не отвечал на соединения, что не позволило провести дальнейший анализ.
Рисунок 12. Захват пакетов, показывающий попытку подключения к URL-адресу C2. Рисунок 12. Захват пакетов, показывающий попытку подключения к URL-адресу C2.
Поскольку сайт C2 больше не доступен, получить исполняемый файл RAT для дальнейшего анализа было невозможно. Тем не менее, действия по обеспечению стойкости и подключению к C2 соответствуют предыдущим попыткам развертывания Konni.
Indicators of Compromise
IPv4
- 185.176.43.106
Domains
- gg1593.c1.biz
SHA256
- 061e17f3b2fd4a4dce1bf4f8a31198273f1abc47c32456d06fd5997ea4363578
- b1f9b577088f00ffe54c1822578e0ca309c08589791249323b6db1e32f2d2a22
- cf69e7cf0eef759f5c1604448be8e2ed4b2e4d02ad72724406f4aa19f501b08b