Центр экстренного реагирования на чрезвычайные ситуации безопасности АнЛаб (ASEC) постоянно отслеживает APT-атаки группы Kimsuky. В этой заметке будут рассмотрены подробности, подтвержденные в течение последнего месяца мая. Хотя группа Kimsuky часто использовала файлы документов для распространения вредоносного ПО, в последнее время было много случаев, когда для распространения использовались CHM-файлы. Кроме того, в отличие от прошлых случаев, когда файлы документов содержали темы, связанные с Северной Кореей, сейчас группа пытается атаковать, используя разнообразные темы.
Kimsuky APT
Распространяемые вредоносные программы CHM при выполнении генерируют обычное окно справки и выполняют вредоносное поведение через находящийся в нем вредоносный скрипт. Пользователю нелегко заметить вредоносное поведение, будучи обманутым окном справки, замаскированным под обычный файл. Окно справки, создаваемое на компьютере пользователя, имеет различную тематику в зависимости от того, в какой области работает объект. Ниже приведены некоторые из распространенных примеров.
Вредоносный сценарий в CHM. Вредоносные команды выполняются через объект ярлыка, и этот объект вызывается через метод Click.
cmd, /c start /MIN REG ADD HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v oeirituttvv /t REG_SZ /d "%USERPROFILE%\Links\oeirituttvv. vbs" /f & echo [Кодированная команда] > "%USERPROFILE%\Links\oeirituttbb.dat" & echo [Кодированная команда] > "%USERPROFILE%\Links\oeirituttvv.dat" & start /MIN certutil -decode "%USERPROFILE%\Links\oeirituttvv. dat" "%USERPROFILE%\Links\oeirituttvv.vbs" & start /MIN certutil -decode "%USERPROFILE%\Links\oeirituttbb.dat" "%USERPROFILE%\Links\oeirituttbb. bat" & start /MIN timeout -t 1 /nobreak & start /MIN CScript "%USERPROFILE%\Links\oeirituttvv.vbs" & start /MIN timeout -t 2 /nobreak & start /MIN CScript "%USERPROFILE%\Links\oeirituttvv.vbs
Эта команда сохраняет две закодированные команды под "%USERPROFILE%\Links\oeirituttbb.dat" и "%USERPROFILE%\Links\oeirituttvv.dat" и сохраняет команды, расшифрованные через certutil, в файлах oeirituttbb.vbs и oeirituttvv.bat. После этого он запускает oeirituttbb.vbs и регистрирует oeirituttbb.vbs на ключ RUN, чтобы обеспечить его непрерывную работу.
Oeirituttbb.vbs - это программа, запускающая созданный с ее помощью файл oeirituttvv.bat. oeirituttvv.bat загружает дополнительные вредоносные файлы через curl. Загружаются два файла: BAT-файл и CAB-файл.
- hxxp://vndjgheruewy1[.]com/tnd/pung03.txt
- hxxp://vndjgheruewy1[.]com/tnd/qung03.txt
Загруженный BAT-файл (pung03.bat) распаковывает CAB-файл (qung03.cab), затем запускает temprr03.bat. CAB-файл содержит в общей сложности 6 сценариев.
Информация о пользователе собирается с помощью файла loyestemp03.bat, а файл uwpp.vbs отправляет собранную информацию вместе с именем компьютера на "hxxp://vndjgheruewy1[.]com/uun06/uwpp.php".
Похоже, что агент угрозы проверяет украденную информацию о пользователе, и только когда система становится целью атаки, загружает дополнительные вредоносные файлы на C2. Если система является целью, угрожающий агент загружает файлы с именем зараженного ПК. Зараженные ПК постоянно предпринимают попытки загрузки через скрипт, зарегистрированный на RunKey, и когда загружаются дополнительные файлы, происходит их загрузка. Затем он распаковывает загруженные файлы через команду expand перед их выполнением. Это позволяет нам предположить, что дополнительный файл также является CAB-файлом.
URL загрузки
hxxp://vndjgheruewy1[.]com/jun06/dw_%COMPUTERNAME%.dat
Таким образом, стали возможны более изощренные атаки, поскольку типы загружаемых вредоносных файлов могут различаться в зависимости от цели атаки.
Indicators of Compromise
URLs
- http://vndjgheruewy1.com/jun06/dw_%COMPUTERNAME%.data
- http://vndjgheruewy1.com/tnd/pung03.txt
- http://vndjgheruewy1.com/tnd/qung03.txt
- http://vndjgheruewy1.com/uun06/uwpp.php
MD5
- 075160d6c8d82b96d1ae7893761695a6
- 7c7b8dd6dd4ba7b443e84287671f0e79
- 9861999409cdbc1f7c4c1079d348697c
- 98764ae00cee9f2cc87530601c159387
- ae6fdb8945991b587ab790c2121345ce
- b5a873ee6b839cbd03789115fc3ae944
- d62dcb76fa0fb4b725ea9c8643874ae7
- e5b0430290dc71193b7ea2fc829a9910
- e9e56ee78e019e09d5dbe0bb373adf09
- ef58a1326b98feccc90c4d37a8ce2fe2