Центр экстренного реагирования AhnLab Security Emergency response Center (ASEC) недавно подтвердил, что вредоносная программа, которая ранее распространялась в форматах файлов CHM и OneNote, распространяется как исполняемый файл. Учитывая, что слова, используемые во вредоносной программе, и исполняемый код сценария похожи на ранее проанализированные коды, есть подозрение, что создателем этой вредоносной программы является та же угрожающая группа (Kimsuky).
Kimsuky APT
Обнаруженная вредоносная программа распространяется в виде сжатого файла, содержащего readme.txt вместе с исполняемым файлом, замаскированным под расширение файла документа HWP.
Файл readme.txt содержит сообщение, которое побуждает пользователей открыть вредоносный EXE-файл (Personal Data Leakage Details.hwp.exe). Вредоносный EXE-файл был скомпилирован с помощью .NET и использует значок документа HWP для маскировки под файл документа. В имя файла также было вставлено несколько пробелов, чтобы расширение файла не было полностью видно.
Приведенный выше EXE-файл содержит команду PowerShell, закодированную в Base64. Таким образом, при выполнении файла эта команда декодируется и сохраняется как update.vbs в папке %APPDATA%. Созданный файл update.vbs затем выполняется через PowerShell.
После этого генерируется окно сообщения, в результате чего пользователям трудно понять, что выполняется вредоносное поведение.
Созданный файл update.vbs содержит обфусцированные команды. При расшифровке обнаруживается код, который загружает и выполняет дополнительный сценарий с hxxp://well-story.co[.]kr/adm/inc/js/list.php?query=1.
Как скрипт, присутствующий в указанном URL, так и последующие выполняемые скрипты выполняют такие функции, как утечка учетных данных пользователя и кейлоггинг, что соответствует выводам, сделанным в <Отчете об анализе вредоносного ПО, распространяемого Kimsuky Group>. Идентифицированный URL-адрес и характеристики созданного файла выглядят следующим образом.
| URL и имя файла | Функция |
| update.vbs | Изменяет конкретную запись в реестре |
| Запускает скрипт hxxp://well-story.co[.]kr/adm/inc/js/list.php?query=1 | |
| hxxp://well-story.co[.]kr/adm/inc/js/list.php?query=1 | Изменяет конкретную запись в реестре |
| Создает OfficeAppManifest_v[Min]_[Hr]_[Day][Month].xml и регистрирует его как службу | |
| Запускает скрипт hxxp://well-story.co[.]kr/adm/inc/js/lib.php?idx=1 | |
| OfficeAppManifest_v[Min]_[Hr]_[Day][Month].xml | Запускает скрипт hxxp://well-story.co[.]kr/adm/inc/js/list.php?query=6 |
| hxxp://well-story.co[.]kr/adm/inc/js/list.php?query=6 | Запускает скрипт hxxp://well-story.co[.]kr/adm/inc/js/lib.php?idx=5 |
| hxxp://well-story.co[.]kr/adm/inc/js/lib.php?idx=5 | Кейлоггер |
| Передает данные кейлоггинга на hxxp://well-story.co[.]kr/adm/inc/js/show.php | |
| hxxp://well-story.co[.]kr/adm/inc/js/lib.php?idx=1 | Собирает информацию о ПК пользователя |
| Передает собранную информацию на hxxp://well-story.co[.]kr/adm/inc/js/show.php |
Indicators of Compromise
URLs
- http://well-story.co.kr/adm/inc/js/lib.php?idx=1
- http://well-story.co.kr/adm/inc/js/lib.php?idx=5
- http://well-story.co.kr/adm/inc/js/list.php?query=1
- http://well-story.co.kr/adm/inc/js/list.php?query=6
- http://well-story.co.kr/adm/inc/js/show.php
MD5
- 73174c9d586531153a5793d050a394a8
- 8133c5f663f89b01b30a052749b5a988
- 91029801f6f3a415392ccfee8226be67
- ec1b518541228072eb75463ce15c7bce
- f05991652398406655a6a5eebe3e5f3a