Фишинговое вредоносное ПО, выдающее себя за Национальную налоговую службу (ННС) Кореи

phishing IOC

Аналитический центр безопасности АнЛаб (ASEC) отмечает значительное увеличение количества фишинговых писем, выдающих себя за Национальную налоговую службу (ННС), особенно в периоды подачи налоговых деклараций.

Описание

Эти попытки фишинга включают в себя письма с манипулируемыми адресами отправителей, которые выглядят как письма от ННС, и содержат вредоносные вложения в различных форматах или гиперссылки, ведущие на сайты, содержащие вредоносное ПО. Вредоносные действия, выполняемые этими вложениями, включают кражу учетных данных, функционирование в качестве вредоносных программ-загрузчиков, выполнение вредоносного кода и выполнение дополнительных вредоносных действий с помощью таких приемов, как перехват DLL и использование файлов справки Windows (CHM). В частности, злоумышленники распространяют сжатый файл с именем 'NTS_eTaxInvoice.zip', содержащий легитимный на вид файл, который при выполнении выполняет вредоносные действия через захват DLL.

Вредоносным ПО, идентифицированным в данном контексте, является XWorm, способный отслеживать веб-камеры и клавиатуры, похищать системную информацию и учетные записи пользователей. Кроме того, CHM-файлы используются для выполнения вредоносных скриптов через процесс MSHTA, что приводит к появлению различных функций, таких как сохранение и выполнение команд с сервера C2. Эти скрипты также могут создавать и исполнять файлы BAT и VBS для загрузки дополнительных вредоносных программ, похищающих пользовательскую информацию. Злоумышленники используют период уплаты налогов, чтобы использовать ожидания пользователей в получении легитимных сообщений от НТС.

Indicators of Compromise

SHA256

  • 2cf7c281f3da8e7704ec351412a1af85bbca64c49660caac152397987026576d
  • 7b5afdb15dbcee7165a7861b4b058c77c57e3d41ec2a7d9d8d4f8ad37cfb98a2
  • a16f3fa0f5d53059508fe31fc9b53e8821d38558ba76b06a2a26a4698af03d6f
  • cd6a69845cf0edbad4af43ae6ccbe7ed6d342b330aea79e8c06af797c07e5028
  • ebe10c82b4e695a4976c4ed18984838597ecebe7171c89d23ca446b085c8af20
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий