Главная страница » IOC
0
2 года
IOC

Распространяется вредоносный LNK-файл, выдающий себя за Национальную налоговую службу

security

Центр экстренного реагирования на чрезвычайные ситуации AhnLab Security (ASEC) обнаружил обстоятельства распространения вредоносного LNK-файла, выдающего себя за представителя Национальной налоговой службы. Распространение LNK-файлов - это метод, который уже использовался в прошлом, а в последнее время было зафиксировано несколько случаев распространения среди корейских пользователей.

Предполагается, что недавно выявленный LNK-файл распространялся через URL-адрес, включенный в электронные письма. URL, идентифицированный с помощью AhnLab Smart Defense (ASD), выглядит следующим образом, и с него загружается сжатый файл под названием "Clarification Documents Submission Guide Concerning General Income Tax Report.zip". На момент анализа сжатый файл содержал два файла: вредоносный LNK-файл и обычный HWP-документ. В настоящее время в сжатом файле, загруженном с URL-адреса, присутствуют только три нормальных документа HWP, поэтому создается впечатление, что угрожающий агент распространял вредоносный файл лишь в течение короткого времени, чтобы затруднить его дальнейший анализ и отслеживание.

Вредоносный LNK-файл под названием "National Tax Service Clarification Documents Submission Guide Concerning General Income Tax Report.lnk" внутри сжатого файла содержит около 300 МБ фиктивных данных и вредоносную команду PowerShell.

Команда PowerShell отвечает за создание и открытие обычного HWP-документа в LNK-файле под именем "National Tax Service Clarification Documents Submission Guide Concerning General Income Tax Report.hwp". Ниже приведено содержание обычного HWP-файла. Он замаскирован под налоговое уведомление от Государственной налоговой службы, и при запуске вредоносного LNK-файла пользователю внушается, что открывается обычный HWP-документ.

После этого внутри того же LNK-файла создается сжатый файл по пути "%Public%\02641.zip". После распаковки созданного файла запускается start.vbs, затем LNK-файл и распакованный файл удаляются. Файлы, созданные после распаковки.

На заключительном этапе своего вредоносного поведения скрипты нарушают информацию о пользователе и загружают дополнительные вредоносные файлы.

 

Indicators of Compromise

URLs

  • http://filehost001.com/list.php?f=%COMPUTERNAME%.txt
  • https://file.gdrive001.com/read/?cu=jaebonghouse&so=종합소득세%20신고관련%20해명자료%20제출%20안내.zip
  • https://file.gdrive001.com/read/get.php?cu=ln3&so=xu6502

MD5

  • 20f0e8362782c7451993e579336f2f3e
  • 2d0747533d4d3f138481c4c4cda9ea1e
  • 560e5977e5e5ce077adc9478cd93c2ac
  • 7725d117d0bd0a7a5fb8ef101b019415
  • 9c3eef28b4418c40a7071ddcba17f0e8
  • b5f698fb96835d155fbcc1ccd4f4b520
  • ca11ba5e641156ff72400e7f5e103aee
Комментарии: 0
Похожие записи
0
6 дней
IOC

Тенденции в распространении вредоносного стилеров за март 2025 года

Spyware
В AhnLab Security Intelligence Center (ASEC) разработаны системы для предварительного реагирования на угрозы по типу Infostealer. Системы автоматически собирают вредоносное программное обеспечение и производят
0
10 дней
IOC

Тенденции марта 2025 года в области фишинговых писем

phishing
Наиболее распространенным типом угрозы среди фишинговых писем был фишинг, при котором злоумышленники используют скрипты, такие как HTML, чтобы подделать макет экрана, логотипы и шрифты страниц входа в систему и рекламных страниц.
0
16 дней
IOC

BeaverTail и Tropidoor распространялись через рекрутинговые письма

security
В ноябре 2024 года был раскрыт случай распространения вредоносных программ BeaverTail и Tropidoor через рекрутинговые электронные письма, где злоумышленники выдавали себя за рекрутеров из сообщества разработчиков Dev.