Аналитический центр AhnLab SEcurity (ASEC) обнаружил новые случаи атак, связанных с использованием облачных сервисов, таких как Google Drive, OneDrive и Dropbox. Атакующие загружают вредоносные файлы на облачные серверы и используют их для сбора информации о пользователях или распространения вредоносного программного обеспечения (ВПО). В основном атакующие загружают в облако вредоносные скрипты, штаммы ВПО RAT и документы-обманки, которые затем выполняют различные вредоносные действия.
Одним из распространенных типов файлов, используемых в таких атаках, является файл-ярлык LNK. В данной статье обсуждается процесс работы с файлом LNK, который часто встречается в APT-атаках. В качестве примера приводится конкретный LNK-файл с именем, маскирующим его под HTML-документ и заманивающим пользователей к его открытию.
Файл LNK содержит команды PowerShell, которые декодируются и выполняются после сохранения в виде файла ms_temp_08.ps1 в папке TEMP. Этот файл затем загружает и выполняет документы-обманки и дополнительные файлы, регистрируя их в планировщике задач.
В ходе анализа было обнаружено, что вредоносное поведение файлов LNK и ms_temp_08.ps1 не связано с их названиями, что может скрыть их от пользователей. Аналитики не смогли проверить содержимое загруженного файла из-за ограничений на момент анализа.
Также было выяснено, что файл ms_temp_08.ps1 загружает файл с именем SoJ****-F.txt из Dropbox и сохраняет его в виде файла first.ps1 в папке TEMP. Этот файл выполняется в процессе атаки.
Indicators of Compromise
IPv4 Port Combinations
- 159.100.29.122:8811
Emails
MD5
- 238cd8f609b06258ab8b4ded82ebbff8
- 52e5d2cd15ea7d0928e90b18039ec6c6
- 5d2fdc098d1e1a7674a40ef9140058ed
- 66b5ffb611505f0067c868dfa84aea60
- 6ad00d48fdce8dc632b13f6c2438f893
- bcb0a6360f057475c63fb16e61fb3adc
- c45d209f666f77d70bed61e6fca48bc2
- d9d9b8375f74812c41a1cd9abce25ac9
- dd2988c792b0252db4c39309e6cb2c48
- f396bf5ff64656b592fe3d665eab8aa3
