Вредоносные документы MS Office Word уже давно используются для распространения дополнительных вредоносных программ RTF, эксплуатируя тот факт, что файлы Word допускают внешнее подключение. Однако компания AhnLab обнаружила, что в Корее распространяются файлы, которые, похоже, были сделаны для того, чтобы избежать обнаружения антивирусных программ.
Как и в прошлых случаях, используется электронное письмо, замаскированное под рабочую почту с вложением документа Word, но в файле webSettings.xml.rels присутствует уникальный фактор, который можно определить в формате OOXML (Office Open XML). При открытии документа пользователь автоматически перенаправляется на внешний URL.
Когда URL вводится в веб-браузер, часть URL перед знаком "@" удаляется, а числа в URL после @ автоматически преобразуются в формат IP.
Причина удаления части URL перед @ заключается в следующем: IE версий 3.0-6.0 позволял автоматически передавать учетные данные пользователя (имя пользователя:пароль) на сайты, использующие метод проверки по умолчанию при попытке ввода URL. После определенного обновления безопасности (MS 832894) часть URL перед @ игнорируется. Считается, что угрожающий агент воспользовался этим, чтобы вставить значимые данные (десятичную дробь, которая может быть преобразована в IP-адрес) после @.
Indicators of Compromise
URLs
- http://104.168.32.131/
- http://107.172.4.181/
- http://161.129.44.62/
- http://192.227.132.46/
- http://192.3.101.120/
- http://192.3.101.125/
- http://192.3.136.167/322/vbc.exe
- http://192.3.136.167/zxxsaassswq__zzzaxxsccvb__zxxxswqaaxxzzza_sdadzzqwqzzxs_dasdzsadasdas/zzxxxz_z_xcccc_zxxz.doc
- http://198.23.187.168/
- http://208.67.105.162/perez/five/fre.php
- http://85.31.46.5/
MD5
- 402d0dc1120c20d21a539bd8d564a6c0
- 471130cf70d5bc013d818098fb55749a
- 655dc599da82d7acfd5f35683c3fe128