Центр экстренного реагирования на чрезвычайные ситуации АнЛаб Секьюрити (ASEC) зафиксировал распространение вредоносных файлов ярлыков (*.lnk), выдающих себя за государственную организацию.
Атакующий субъект, по-видимому, распространяет вредоносный файл сценария (HTML), замаскированный под письмо службы безопасности, прикрепляя его к электронным письмам. Обычно они направлены на лиц, занимающихся вопросами воссоединения Кореи и национальной безопасности. Примечательно, что для создания видимости легитимных документов они были замаскированы темами выплаты гонораров.
Этот тип вредоносного ПО осуществляет проникновение в информацию пользователя и загрузку дополнительных вредоносных программ.
При выполнении вложения HTML-файла появляется окно, замаскированное под письмо службы безопасности, как показано ниже. Предполагается, что в письмо должен был быть включен пароль, чтобы оно выглядело как настоящее письмо службы безопасности. Однако при нажатии кнопки OK без заполнения поля ввода также отображается его содержимое.
Внутри находится текст, выдающий себя за государственную организацию, и вложение с соответствующим названием.
Каждый сжатый файл содержит легитимный документ Hangul Word Processor (HWP) с шаблоном гонорара, а также вредоносный файл-ярлык (LNK).
Поскольку при запуске LNK-файла открывается легитимный документ HWP, пользователям бывает сложно заметить вредоносное поведение.
Indicators of Compromise
IPv4 Port Combinations
- 165.154.230.24:8020
MD5
- 0040aa9762c2534ac44d9a6ae7024d15
- 209ac4185dfc1e4d72c035ecb7f98eac
- 40b7c3bced2975d70359a07c4f110f18
- 5e5a87d0034e80e6b86a64387779dc2e
- 64dee04b6e6404c14d10971adf35c3a7
- b70bc31b537caf411f97a991d8292c5a
- d00aa4b1a3cd9373d49c023580711170
- de7cd0de5372e7801dab5aafd9c19148
- eb614c99614c3365bdc926a73ef7a492
- fb5aec165279015f17b29f9f2c730976
