28 августа Центр экстренного реагирования на чрезвычайные ситуации AhnLab Security (ASEC) обнаружил обстоятельства появления в распространении загрузчика, замаскированного содержанием, касающимся нарушения прав интеллектуальной собственности, ориентированного на неопределенные массы в Корее.
Распространяемое вредоносное ПО включало код, обнаруживающий виртуальные среды для обхода решений безопасности на основе песочницы, и представляло собой .NET-файл, загружающий вредоносную программу MainBot. Судя по информации о файлах, собранной компаниями AhnLab Smart Defense (ASD) и VirusTotal, целевыми направлениями распространения, по-видимому, были Корея и Тайвань.
Вредоносная программа загружает основную конфигурационную информацию с общей страницы Google Docs угрожающего субъекта, включая токен Telegram, идентификатор чата и URL-адрес загрузки MainBot.
URL, декодированный с помощью Base64: hxxps://docs.google.com/document/export? format=txt&id=10bTqbc6WMebYNQEZy86Uy_3YnIynx3VNnFD-wF1EH6E&includes_info_params=true&usp=sharing&cros_files=false&inspectorResult=%7B%22pc%22%3A1%2C%22lplc%22%3A12%7D&showMarkups=true
* 'id' - уникальный идентификатор Google Docs угрожающего агента, в котором сохраняется информация о конфигурации.
Вредоносная программа анализирует страницу общего документа и получает информацию о его сервере Telegram, после чего использует полученное сообщение в качестве базы для отправки на зараженный ПК команд, таких как установка и выполнение MainBot, изменение имени файла и завершение работы. На момент анализа собрать MainBot не удалось.
Вредоносная программа имела шесть условий, которые проверяли виртуальные среды для обхода обнаружения со стороны решений по обнаружению вредоносного ПО на основе песочницы.
- Проверяет, не равно ли количество антивирусных продуктов в работающей системе 0.
- Выполняет WMI-запрос "SELECT * FROM WmiMonitorBasicDisplayParams" и проверяет, все ли мониторы, подключенные к рассматриваемому компьютеру, имеют 0 параметров отображения по умолчанию (для проверки физического подключения к мониторам).
- Используя WMI-класс Win32_Keyboard, проверяет наличие информации о USB-клавиатуре (для проверки физического подключения к клавиатуре)
- Проверяется, не является ли объем оперативной памяти менее 4 Гб
- Проверяется, что объем диска составляет менее 128 ГБ
- Проверяется отсутствие дочерних ключей HKLM\SOFTWARE\WOW6432Node\Clients\StartMenuInternet или наличие только "IEXPLORE.EXE" или "Microsoft Edge".
Indicators of Compromise
MD5
- 187ce0c69ae10fcc93e546e02a4c9bb9
- 411f04a6b60d02072a67a7bbddf9b752
