Обнаружены распространяемые файлы, включающие документы Hangul Word Processor и файлы в формате MSC, которые содержат дополнительные вредоносные файлы.
Kimsuky APT
Файлы-обманки, маскированные под легитимные документы, иногда содержат личную информацию, что указывает на нацеленность вредоносной программы на конкретных пользователей. Хотя конкретное вредоносное поведение не подтверждено, скрипт злоумышленника хранится и выполняется на компьютере пользователя, что может привести к утечке информации и загрузке дополнительного вредоносного кода. Атака, представляющая опасность, имеет схожий формат вредоносных URL-адресов с предыдущей группой атак. Вредоносная программа использует легитимный исполняемый файл и замаскированный файл вредоносного скрипта, а также Google Drive для получения команд. Предполагается, что программа распространялась посредством фишинга, используя документы Hangul Word Processor и файлы MSC.
Indicators of Compromise
URLs
- http://communiquer.be/modules/mod_users_latest/src/Helper/0902_pprb/d.php?na=myapp
- http://communiquer.be/modules/mod_users_latest/src/Helper/0902_pprb/d.php?na=myappfest
- http://communiquer.be/modules/mod_users_latest/src/Helper/0902_pprb/d.php?na=view
- http://communiquer.be/modules/mod_users_latest/src/Helper/0907_pprb/d.php?na=comline
- http://communiquer.be/modules/mod_users_latest/src/Helper/0907_pprb/d.php?na=myapp
MD5
- 08111135bae27c8aafd08457e95b7380
- 100e0fdae087054dbc1d8fc364b07e2e
- 7c451e8d5605536363d897fa9e389ecd
- a0d72144f26362a406b44a7db7042886
- e9916b12df839e70877d085f97fad27b
