Центр экстренного реагирования на чрезвычайные ситуации AhnLab Security (ASEC) недавно подтвердил факт распространения вредоносной программы, замаскированной под тематику, связанную с обменом монет и инвестициями. Вредоносная программа распространяется в виде исполняемого файла и файла Word. Судя по имени User-Agent, используемому во вредоносной программе, предполагается, что она была создана группой Kimsuky.
Kimsuky APT
Исполняемые файлы маскируются под иконки документов Word и PDF, что делает их похожими на обычные файлы.
Указанные вредоносные исполняемые файлы имеют вид самораспаковывающихся архивов (SFX), внутри которых находятся обычные файлы. Поэтому при его выполнении генерируются следующие файлы нормальных документов.
В каждом из них содержится контент, выдающий себя за управляющие компании и биржи монет.
Содержимое архива каждого исполняемого файла включает в себя обычные документы, а также команду для доступа к определенному URL.
В результате при выполнении файла формируется обычный документ, а mshta.exe используется для выполнения кода сценария, содержащегося во вредоносном URL. На момент анализа доступ к указанному URL был невозможен, поэтому точное поведение подтвердить не удалось. Ниже приведены подтвержденные вредоносные URL.
- hxxps://partner24[.]kr/mokozy/hope/biz.php
- hxxps://partner24[.]kr/mokozy/hope/doc1.php
- hxxps://partner24[.]kr/mokozy/hope/doc2.php
Помимо вышеупомянутых исполняемых файлов типа SFX, судя по всему, распространил также документ Word, содержащий макрос VBA. Идентифицированный файл документа имеет то же маскировочное имя, что и вредоносные исполняемые файлы, так как выдает себя за файл, связанный с обменом монет.
При открытии файла документа цвет текста в теле устанавливается серым, как показано ниже, что позволяет манипулировать пользователем, заставляя его нажать кнопку "Включить содержимое". После нажатия этой кнопки выполняется макрокод VBA, встроенный в документ, который изменяет цвет текста в теле на черный, как показано на рис. 8, позволяя пользователям просматривать содержимое.
После выполнения макроса VBA, встроенного в документ, обычный файл wscript.exe из каталога %windir%\system32 копируется под именем word.exe в папку %appdata%. Затем происходит загрузка дополнительного Base64-кодированного скрипта с адреса hxxps://partner24[.]kr/mokozy/hope/kk.php, после чего он декодируется и сохраняется в папке %USERPROFILE% под именем set.sl. Созданный файл set.sl выполняется следующей командой.
| 1 | cmd /c %appdata%\word.exe //e:vbscript //b %USERPROFILE%\set.sl |
На момент анализа код, загруженный по адресу hxxps://partner24[.]kr/mokozy/hope/kk.php, не выполнял каких-либо конкретных вредоносных действий, однако через него могут быть выполнены различные вредоносные команды в соответствии с замыслом угрожающего агента. Код, сохраненный в set.sl на момент анализа, выглядит следующим образом.
Учитывая, что в макрокоде, в качестве User-Agent в данной вредоносной программе используется не Chrome, а Chnome, можно предположить, что ее создала группа Kimsuky. Кроме того, тот факт, что и исполняемые файлы, и файл документа содержат в своих именах одно и то же название монетной биржи и подключаются к одному и тому же адресу C2, позволяет предположить, что эти исполняемые файлы также были созданы одной и той же угрожающей группой.
В настоящее время невозможно определить, какой именно скрипт был выполнен в итоге, поскольку C2 недоступен. Однако, учитывая потенциальную возможность различных вредоносных действий, таких как утечка учетных данных пользователя и загрузка дополнительного вредоносного ПО, пользователям следует проявлять повышенную осторожность.
Indicators of Compromise
URLs
- https://partner24.kr/mokozy/hope/biz.php
- https://partner24.kr/mokozy/hope/doc1.php
- https://partner24.kr/mokozy/hope/doc2.php
- https://partner24.kr/mokozy/hope/kk.php
MD5
- 002105e21f1bddf68e59743c440e416a
- 17daf3ea7b80ee95792d4b3332a3390d
- 8a5fd1e9c9841ff0253b2a6f1e533d0e
- b6614471ebf288689d33808c376540e1