Центр реагирования на чрезвычайные ситуации AhnLab Security Emergency Response Center (ASEC) выявил процесс, с помощью которого угрозы устанавливают программы CoinMiners, использующие ресурсы взломанной системы для майнинга криптовалют.
Gтакующий агент постоянно использовал одну и ту же команду на зараженной системе. Скрипт PowerShell был обнаружен выполняемым командой PowerShell через процесс CMD. Вместо непосредственной загрузки файлов в качестве строки принимается и выполняется только сценарий.
Выполненный PowerShell-скрипт декодирует данные, закодированные в Base64, и создает в каталоге TEMP файл с именем "nodejssetup-js.exe", который затем исполняется.
Основными его особенностями являются получение с сайта распространения файлов данных, зашифрованных в DES, их расшифровка и внедрение (Process Hollowing) в обычный процесс MSBuild.exe. Инжектированный (Process Hollowed) MSBuild.exe выполняет вредоносные действия.
Процесс установки криптовалютного CoinMiner, использующего системные ресурсы, на инфицированной системе включает в себя несколько процессов. Однако используемое вредоносное ПО - только один: "nodejssetup-js.exe". Все остальные скрипты и вредоносные PE-файлы, используемые в процессе инъекции (Process Hollowing), существуют только в памяти.
Indicators of Compromise
URLs
- http://185.174.136.91/name.dll
- http://79.137.196.27/bypass.ps1
- https://files.catbox.moe/k541xr.dll
- https://files.catbox.moe/kwfxr7.dll
MD5
- 1c5d05def6e3baabe8da94a3d275c5e5
- 6efe15382531ae994f2f220046421b1d
