Недавно Центр экстренного реагирования на чрезвычайные ситуации АнЛаб Секьюрити (ASEC) обнаружил вредоносный LNK-файл, распространяемый среди сотрудников финансовых и блокчейн-корпораций по электронной почте и другими способами.
Загружаемый файл представляет собой сжатый файл с именем "Blockchain Corporate Solution Handbook Production.zip". Злоумышленник попеременно загружал по URL-адресам то вредоносный, то легитимный файл, что приводило к путанице в анализе.
При загрузке вредоносного файла в сжатом виде вместо DOCX-файла содержится вредоносный LNK-файл. Поскольку LNK-файлы не имеют расширения файла, расположенного за именем файла, их трудно отличить от обычных файлов документов .docx, если не обратить внимание на изображение стрелки быстрого доступа, входящее в состав пиктограммы.
LNK-файл имеет аномально большой размер (около 300 МБ) и содержит обфусцированные команды PowerShell. Необфусцированный сценарий PowerShell выглядит следующим образом.
Этот скрипт PowerShell выполняет вычисление xor над двоичным файлом, входящим в его состав (LNK), и создает следующие файлы.
{Текущий путь}\1._Form.docx (легитимный файл)
%public%\qDLgNa.cab (вредоносный файл).
После этого он запускает легитимный файл документа (1._Form.docx) и предлагает пользователю ввести информацию для изготовления корпоративных рекламных материалов, как показано на рисунке ниже, обманывая его, что документ был открыт правильно.
Среди созданных файлов файл .cab содержит дополнительные вредоносные скрипты (vbs и bat), которые распаковываются в папку "%public%\documents\" и заставляют запускать start.vbs. После этого LNK-файл удаляет себя и .cab-файл для устранения следов.
Файл start.vbs выполняет только роль исполнителя пакетного файла 66022014.bat.
После этого запускается множество функций, разделенных на каждый .bat-файл. Упрощенная схема взаимосвязи между .bat-файлами выглядит следующим образом.
Файл 66022014.bat выполняет следующие действия.
- Зарегистрировать автозапуск: Регистрирует себя по пути HKCU\Software\Microsoft\Windows\CurrentVersion\Run для сохранения постоянства.
- Выполняет файл 07915735.bat (загружает дополнительные файлы).
- Выполняет файл 73505966.bat (собирает информацию о системе).
- Загружает дополнительные файлы: hxxp://accwebcloud[.]com/list.php?f=%COMPUTERNAME%.txt&r={Key} - В настоящее время C2 недоступен
- Распаковывает файлы и запускает файл temprun.bat
Файл 07915735.bat выполняет следующие действия.
- Загружает дополнительные файлы: hxxps:// file.lgclouds001[.]com/read/get.php?ra={string}&r={key} - В настоящее время C2 недоступен
- Распаковать файлы: Пароль "a"
- Запускает прилагаемый файл 1.bat
Файл 73505966.bat выполняет следующие действия.
- Собирает системную информацию
- Список файлов по пути %username%\downloads
- Список файлов по пути %username%\documents
- Список файлов по пути %username%\desktop
- Список текущих запущенных процессов
- Информация о компьютере - Использует файл 05210957.bat для отправки информации на C2: hxxp://accwebcloud[.]com/upload.php
Файл 88730413.bat, работающий при загрузке дополнительных файлов, содержит сценарий PowerShell, предназначенный для отправки строк после их шифрования следующим методом: часть строки URL, полученная в качестве аргумента, шифруется текущим системным временем (ключом), а значение ключа добавляется к URL, присоединяясь после "r=".
Причина, по которой вредоносный URL-запрос постоянно меняется, предположительно, заключается в попытке затруднить его обнаружение.
Судя по всему, в конечном итоге угрожающий агент выполняет файл temprun.bat, но поскольку URL-адрес в настоящее время недоступен для доступа, отследить последующее поведение невозможно. Когда соединение с URL доступно, в зависимости от того, что загрузил агент угрозы, могут быть загружены различные вредоносные файлы, например Quasar RAT и Amadey.
Indicators of Compromise
URLs
- http://accwebcloud.com/list.php
- http://accwebcloud.com/upload.php
- https://file.lgclouds001.com/read/
- https://file.lgclouds001.com/read/get.php
- https://file.ssdrive001.com/read/
MD5
- 49caa5d4cbb8655ec8f349f0d4238344
- 51dbeea3d0d003115365a01481c9115b
- 79b0289faf6f82118f2e8cdfa3f6be53
- a6e811d205a9189ea0f82ac33a307cec
- a95bd06ea44ca87c6ace0ad00fccdebb
- df243512be8f0eafd7ba7ad77f05e8f3
- f8ebdb67fa4e7ba5f2723f6de6c389c8
- feb594bbb8c0c853ab3c23049f374441
