На фоне сокращения распространения вредоносных программ типа документов MS Office растет распространение вредоносных программ в различных форматах, таких как LNK и CHM. Во втором квартале этого года было обнаружено вредоносное ПО в формате файлов MSC (snap-ins/Management Saved Console), используемых в Microsoft Management Console (MMC). Файлы MSC имеют формат, основанный на XML, и позволяют выполнять различные задачи, такие как регистрация и выполнение кодов сценариев, командных команд или программ. Среди выявленных вредоносных программ файлового типа MSC есть тип, эксплуатирующий уязвимость (CVE-2024-43572) в apds.dll, и тип, выполняющий командную строку через MMC Console Taskpad.
Описание
Судя по всему, злоумышленник распространяет вредоносное ПО в незнакомом формате, чтобы пользователи могли выполнить его, не вызывая подозрений. Обычным пользователям трудно догадаться о назначении и поведении файлов MSC, а тот факт, что их можно легко выполнить двойным щелчком мыши, может привести к их дальнейшему распространению.
Тип 1
Этот тип использует уязвимость (CVE-2024-43572) в apds.dll для выполнения вредоносной полезной нагрузки. Поскольку иконка файла может быть задана произвольно, известны многочисленные случаи распространения с иконками документов PDF или Word для маскировки под легитимный документ.
Тип 2
Этот тип выполняет команды с помощью панели задач консоли MMC. Как и тип 1, он также маскируется под значок файла или папки документа. Установлено, что группа Kimsuky распространяет эту вредоносную программу среди южнокорейских пользователей, и она имеет свойство выполнять документы-приманки во время своей работы.
Indicators of Compromise
MD5
- 026a6ed068b12ea1447ca20d4f82452f
- 032fd60659a82b9b0fefe1eb1728259d
- 06745253f1daec97554abab0b5ac6568
- 0efa89b5a10d42c3c4ca2620f28ea770
- 14d4bc28f58affbb03b0afd2d756c716
