В результате анализа обнаруженного Forcepoint документа Word (FAKTURA.docx), был выявлен троян Remcos Remote Access Trojan (RAT). Этот вредоносный программный код предоставляет злоумышленникам полный контроль над зараженной системой и может использоваться для кражи данных и шпионажа. Распространение трояна осуществляется через офисные файлы, и понимание этого процесса поможет бороться с данной угрозой.
Remcos RAT
Анализ обнаруженного файла показал, что он содержит сокращенный URL-адрес, который перенаправляет на загрузку вредоносной программы Equation Editor в формате RTF. С использованием уязвимости Equation Editor, вредоносный код пытается загрузить скрытый VB-скрипт, состоящий из длинной последовательности объединенных переменных и строк, вероятно, закодированных или обфусцированных. Эти строки представляют собой закодированную полезную нагрузку, которая может быть выполнена позже.
Далее, VB-скрипт декодируется в код PowerShell, который пытается загрузить вредоносный бинарный файл через изображение, использующее стеганографию, и строку, которую ранее закодировали в формат Base64. Несмотря на вызов командно-контрольного пункта (C2), также наблюдается переподключение TCP, что указывает на недоступность C2 в данный момент.
В рамках дальнейшего анализа было выявлено, что вредоносный файл был распространен через электронное письмо с прикрепленным документом в формате .docx. Анализ содержимого письма выявил сокращенный URL-адрес, который в свою очередь перенаправлял на документ в формате doc, содержащий уязвимость CVE-2017-0199. Для маскировки реального адреса, злоумышленник использовал сервис сокращения URL.
Кроме того, в папке "\word\embeddings" были обнаружены файлы oleObject bin, в которых содержатся встроенные PDF-файлы. Однако данные файлы представляют собой обычные банковские транзакции и не являются вредоносными.
Изучение цепочки заражения позволило постепенно разобраться в механизме распространения трояна. Процессом инфицирования начинается с открытия прикрепленного вредоносного .docx файла, после чего эксплуатируется уязвимость Equation Editor. Затем, через декодирование и обфускацию кода, выполняется загрузка вредоносного файла на целевую машину.
Несмотря на то, что некоторые URL-адреса, используемые в данной атаке, в настоящее время неактивны, анализ показал, что эти адреса ранее перенаправляли на другие вредоносные файлы. Понимание и анализ таких атак помогает предотвратить подобные инциденты и защитить системы от троянов и других вредоносных программ.
Indicators of Compromise
IPv4 Port Combinations
- 94.156.66.67:2409
Domains
- belgom.duckdns.org
- fordede.duckdns.org
- logili.duckdns.org
- newsat.duckdns.org
URLs
- http://96.126.101.128/43009/mnj/lionskingalwaysbeakingofjungletounderstandhowfastthekingofjunglereturnewithentirethingstogetmebacktothegame___lionsarekingofjunglealways.doc
- http://96.126.101.128/43009/NGB.txt
- http://ilang.in/QNkGv
- https://paste.ee/d/HdLtf
- https://uploaddeimagens.com.br/images/004/785/720/original/new_image.jpg?1716307634
Emails
SHA1
- 539deaf1e61fb54fb998c54ca5791d2d4b83b58c
- 83505673169efb06ab3b99d525ce51b126bd2009
- 9740c008e7e7eef31644ebddf99452a014fc87b4
- f1d760423da2245150a931371af474dda519b6c9
