Центр экстренного реагирования на чрезвычайные ситуации компании AhnLab Security (ASEC) обнаружил, что постоянно распространяется вредоносная программа, замаскированная под письмо с просьбой о приеме на работу. Это вредоносное ПО оснащено функцией, проверяющей наличие различных антивирусных процессов, включая процесс с названием продукта AhnLab (V3Lite.exe), и распространяется через вредоносные URL-адреса, оформленные как корейский сайт по поиску работы.
Вредоносный файл, загруженный с указанных выше URL-адресов, имеет расширение файла экранной заставки (.scr) и значок документа HWP. После выполнения сжатые данные файла, хранящиеся во внутреннем RCDATA, сохраняются как %Public%\[6 символов выкупа].zip.
После этого он создает дополнительные файлы путем распаковки вышеуказанного файла в каталоге %Public%\Documents\Defender\[шесть случайных символов]. Для wechatweb.exe имя созданного файла состоит из шести случайных символов. Созданные файлы показаны ниже.
Затем создается папка %Public%\Music\[шесть случайных символов] перед созданием файла InternetShortcut для запуска обычного файла HWP, созданного ранее, и wechatweb.exe ([шесть случайных символов].exe). Этот файл ярлыка удаляется после его выполнения.
Документ HWP, запущенный через файл быстрого доступа на рисунке 6, представляет собой обычный документ, имеющий формат письма о приеме на работу, как показано ниже.
wechatweb.exe ([шесть случайных символов].exe), выполняемый через файл быстрого доступа, загружает cmcs21.dll, созданную одновременно, и выполняет экспортную функцию CMGetCommandString. Загруженный файл cmcs21.dll регистрирует следующую запись в реестре, чтобы обеспечить непрерывную работу вредоносного файла.
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\specialyouttg0a
Данные: C:\Users\Public\Documents\Defender\[шесть случайных символов]\[шесть случайных символов].exe (wechatweb.exe)
После этого он считывает и декодирует yga.txt и внедряет данные в рекурсивно выполняемый процесс wechatweb.exe ([шесть случайных символов].exe), в конечном итоге осуществляя вредоносное поведение, такое как кража информации. Инжектированный процесс создает файл с именем [six random characters].Kinf в той же папке, где он кодирует и сохраняет данные кейлоггинга.
Он также собирает информацию о различных антивирусных программах, включая имя процесса, считающегося антивирусным программным обеспечением AhnLab (V3Lite.exe). Когда определенные процессы идентифицированы, он отправляет информацию, указанную в правой части таблицы 2 ниже, вместо имени процесса.
Ниже приведен список другой собираемой информации.
0$*[ Серийный номер тома диска ]$*0515$*$*[ IP-информация локального ПК ]$*$*[ Имя ПК ] $* [Имя пользователя] $* [ Информация о версии ОС ] $* [ Использование памяти ] МБ $* [ Информация о процессоре ] $* [ Разрешение экрана] $* $* $* [ Информация о времени процесса ] $* [ Случайное значение ] $* [ Текст в окне переднего плана ] $* [ Типы используемых антивирусных процессов ] $*2560230837$*zxcv12321$*1111111$*.
Эта вредоносная программа может не только собирать информацию, но и выполнять различные вредоносные действия по командам агента угрозы, включая настройку интернет-опций, захват скриншотов, управление службами и проверку данных интернет-куки.
C2 : ggt-send-6187.orange-app[.]vip:6187
Файлы, замаскированные под Job Application Letter.scr, постоянно распространялись, как показано ниже. Последние URL-адреса для загрузки вредоносной программы оформлены так, что напоминают корейский сайт по поиску работы и найму персонала, и пользователям трудно распознать, что они поддельные. Поэтому пользователям рекомендуется проявлять особую осторожность.
Indicators of Compromise
Domain Port Combinations
- ggt-send-6187.orange-app.vip:6187
URLs
- http://ggt-send-6187.orange-app.vip:6187
- https://manage.albamon.info
- https://manage.albamon.info/download/20230201good001/%EC
_%EC%9E%85%EC%82%AC%EC%A7%80%EC%9B%90%EC%84%9C.hwp.scr - https://manage.albamon.live/23_05_15_05/%EC%
_%EC%9E%85%EC%82%AC%EC%A7%80%EC%9B%90%EC%84%9C.hwp.scr - https://manage.albamon.live/23_05_22_Fighting_ok/%EC
_%EC%9E%85%EC%82%AC%EC%A7%80%EC%9B%90%EC%84%9C.hwp.scr
MD5
- 0ddcb876007aee40f0c819ae2381d1b1
- 15a0e9cd449bce9e37bb1f8693b3c4e0
- 498eda85200257a813dc6731d3324eb6
- ccf3fcd6323bcdd09630e69d6ee74197
