Северокорейская группа Kimsuky использует простой шифр для скрытия вредоносного VBScript-кода

Аналитики идентифицировали вредоносный файл под условным названием «1.vba». Этот скрипт написан на языке VBScript и предназначен для загрузки и выполнения дополнительного опасного ПО на компьютере жертвы. Характерной особенностью данной угрозы является крайне простая, почти классическая схема обфускации (запутывания кода).

Злоумышленники применяют так называемый шифр Цезаря (Caesar Shift) с фиксированным сдвигом. Алгоритм последовательно обрабатывает каждый символ в длинной зашифрованной строке. Сначала символ извлекается, затем преобразуется в числовой код ASCII. Далее от этого значения вычитается число 5, что возвращает символу его исходный вид. Восстановленная строка представляет собой исполняемый VBScript-код, который немедленно запускается с помощью команды "Execute". Этот метод, несмотря на свою простоту, всё ещё позволяет скрыть истинное содержимое скрипта от сигнатурного анализа многих антивирусных решений.

После расшифровки код скрипта становится читаемым. Он начинает свою работу с создания нескольких стандартных COM-объектов, таких как "WScript.Shell", "Scripting.FileSystemObject", "MSXML2.XMLHTTP" и "ADODB.Stream". Эти объекты необходимы для взаимодействия с операционной системой, файлами и сетью.

Основная полезная нагрузка (payload) скрипта заключается в загрузке файлов из интернета. Код содержит несколько заранее определённых URL-адресов. В частности, используются ресурсы, размещённые на сервисе Amazon Web Services S3. Например, среди целей фигурируют адреса вида "hxxps://proradead.s3.sa-east-1.amazonaws[.]com/new.exe". Все файлы сохраняются в папку "C:\Users\Public\Music\" под именами "musicx.exe", "musicx.exe.config", "music.txt" и "proton.mp4".

Логика загрузки включает проверку существования файла. Если файл уже присутствует в системе, повторная загрузка не производится. Это может быть механизмом избежания лишнего шума. Для непосредственной загрузки используется объект "MSXML2.XMLHTTP" для отправки GET-запроса. При успешном ответе (статус 200) данные записываются на диск с помощью "ADODB.Stream".

Финальным этапом работы скрипта является запуск загруженных исполняемых файлов. Команда "WScript.Shell.Run" используется для выполнения "musicx.exe" и, что интересно, видеофайла "proton.mp4". Параметры запуска указывают на отображение окна ("1") и неблокирующий вызов ("False"), после чего скрипт завершает свою работу.

Наличие файла "proton.mp4", вероятно, служит отвлекающим манёвром или приманкой для пользователя, маскируя истинную вредоносную активность. Основной угрозой является исполняемый файл "musicx.exe", природа которого в данном отчёте не уточняется. Известно, что антивирусные продукты, такие как Avast, уже детектируют этот скрипт как "VBS:Kimsuky-Y [Trj]".

Группировка Kimsuky, также известная как APT43, Thallium или Velvet Chollima, давно ассоциируется с северокорейскими спецслужбами. Её основными целями традиционно являются организации и исследователи, занимающиеся вопросами Корейского полуострова, ядерной программой и внешней политикой. Использование простых, но работоспособных техник, как в данном случае, подтверждает прагматичный подход злоумышленников, которые не гонятся за сложностью, если цель может быть достигнута более прямыми методами. Этот инцидент в очередной раз подчёркивает важность многоуровневой защиты, выходящей за рамки простого сигнатурного анализа.

URLs

• https://proradead.s3.sa-east-1.amazonaws.com/new.exe

MD5

1. 10238c4bac6d327b96bd2abd8808161e

SHA1

• c0285cc616c019ad8361cc4d844362c0b2a5d09e

SHA256

• cfb38fa1d12f9cc1e129fc952739a2b1a831ff17cfd752ec57d7fee53a380866