Исследователи обнаружили обнаружили, что Konni использовала уязвимость WinRAR (CVE-2023-38831), недавно раскрытую Group-IB, что является первым случаем использования данной уязвимости в атаке APT-организацией.
Атаки захваченной организации Konni сильно отличается от предыдущих, судя по названию индукции, цель атаки указывает на индустрию цифровых валют, возможно, что организация Konni открывает новое направление атаки, название образца, захваченного на этот раз, - "wallet_Screenshot_2023_09_06_Qbao_Network.zz". Network.zip", упомянутая в названии сеть Qbao Network описывается следующим образом:
QbaoNetwork - это умный криптокошелек. Его цель - построить экологическую платформу блокчейна и создать портал в мир блокчейна. QbaoNetwork объединяет в себе кошелек цифровой валюты, платежные расчеты, обмен токенов, социальную сеть, новостную ленту, DAPP Store и другие многофункциональные возможности. QbaoNetwork служит глобальным пользователям цифровой валюты, предоставляя кросс-цепочечную, децентрализованную, безопасную и простую в использовании платформу цифровых активов. QbaoNetwork - это платформа, которая удовлетворяет потребности людей в платежных расчетах цифровой валюты, управлении цифровыми активами, QbaoNetwork - это платформа, которая удовлетворяет потребности людей в платежах в цифровой валюте, управлении цифровыми активами, торговле цифровыми активами, онлайн-потреблении, аутентификации личности, новостях, социальных сетях и других потребностях в универсальном приложении. Она обеспечивает глобальным пользователям доступ к цифровой экономике и цифровой жизни"
Полученный образец носит имя wallet_Screenshot_2023_09_06_Qbao_Network.rar, который эксплуатирует недавно раскрытую уязвимость Winrar (CVE-2023-38831) для выполнения вредоносной полезной нагрузки, при нажатии жертвой на html-файл в zip-файле будет выполнена тщательно сконструированная директория с тем же именем. Вредоносная полезная нагрузка с тем же именем будет выполнена:
Когда жертва пытается открыть файл "Screenshot_2023_09_06_Qbao_Network.html" в архивном файле, Winrar сравнивает все файлы в архиве, чтобы найти файл/каталог с тем же именем, что и "Screenshot_2023_09_06_Qbao_Network.html", в соответствии с В соответствии с обработкой Winrar, если существует каталог с таким же именем, как "Screenshot_2023_09_06_Qbao_Network.html", то Winrar продолжит проверку файлов в каталоге "Screenshot_2023_09_06_Qbao_Network.html /".
Если в каталоге "Screenshot_2023_09_06_Qbao_Network.html œ/" также присутствует файл с именем "Screenshot_2023_09_06_Qbao_Network.html", то файл "Screenshot_2023_09_06_Qbao_Network.html /" будет перемещен в каталог "Screenshot_2023_09_06_Qbao_Network.html /". Файл "Screenshot_2023_09_06_Qbao_Network.html /" каталога "Screenshot_2023_09_06_Qbao_Network.html" в список извлечения.
В самом процессе извлечения благодаря Winrar происходит операция предварительной обработки имени файла, которая используется для проверки имени файла и удаления некоторых специальных символов, которые Windows не воспринимает. В имени файла "Screenshot_2023_09_06_Qbao_Network.html .exe" в середине ".exe" имеется специально построенный символ "html". Между "html" и ".exe" в имени файла имеется специально построенный пробел, и при разбиении пути имя файла преобразуется в "Screenshot_2023_09_06_Qbao_Network.html", поэтому имя файла "Screenshot_2023_09_06_Qbao_Network.html" не используется в качестве разделителя пути. _Qbao_Network.html .exe" в список извлечения. Это привело к запуску файла Screenshot_2023_09_06 _Qbao_Network.html .exe в zip-файле:
Screenshot_2023_09_06_Qbao_Network.html .exe после запуска сначала создаст поток, а затем с помощью GetSystemWow64DirectoryW определит, является ли текущая система 64-битной, и если является, то 1 будет вставлена в /info.php?user_id=8596& type=, если нет, то будет вставлен 0.
После загрузки полезной нагрузки жестко закодированная строка преобразуется в unbase64, записывается в файл %temp%temp.bat и запускается.
Indicators of Compromise
Domains
- e9f0dkd.c1.biz
- ske9dhn.c1.biz
MD5
- 1536e9bf086982c072c2cba7d42b0a62