Aveo Malware

ransomware Security

Aveo - семейство вредоносных программ, которые используются для атак на пользователей, говорящих на японском языке. Семейство вредоносных программ Aveo тесно связано с ранее обсуждаемым семейством FormerFirstRAT, которое также было замечено в использовании против японских пользователей. Aveo маскируется под документ Microsoft Excel и при выполнении подбрасывает документ-обманку. Документ-обманка связан с исследовательской инициативой, проводимой лабораторией Ido при Технологическом институте Сайтамы. После выполнения вредоносная программа Aveo принимает ряд команд, позволяя злоумышленникам получить полный контроль над компьютером жертвы.

Aveo Malware

Aveo настроен на взаимодействие со следующим доменным именем по протоколу HTTP:

Этот домен был впервые зарегистрирован в мае 2015 года на имя '[email protected]'.

После запуска самораспаковывающегося исполняемого файла в файловую систему сбрасывается ряд файлов и наблюдается следующий поток выполнения:

Aveo

Когда исполняемый файл mshelp32.exe запускается, он начинает с чтения файла setting32.ini, который содержит имя документа-обманки. Эта информация используется для создания пакетного сценария, который выполняется в новом процессе и действует как простой сценарий очистки, который запускается после выполнения Aveo и документа-обманки.

Вредоносная программа Aveo сначала запускает процедуру установки, которая копирует себя в следующее место:

Если по какой-либо причине каталог %APPDATA%\MMC не может быть создан, Aveo будет использовать %TEMP% вместо %APPDATA%.

После того как вредоносная программа скопирует себя, она выполнит MMC.exe в новом процессе с аргументом в виде имени исходного файла. При выполнении, если этот единственный аргумент будет предоставлен, вредоносная программа удалит указанный путь к файлу.

После завершения процедуры установки Aveo передаст следующую информацию о жертве на удаленный сервер по протоколу HTTP:

  • Уникальный хэш жертвы
  • IP-адрес
  • Версия Microsoft Windows
  • Имя пользователя
  • Идентификатор кодовой страницы ANSI

Эта информация передается на домен 'snoozetime[.]info'.

Для шифрования предоставленных данных вредоносная программа использует алгоритм RC4, используя ключ 'hello'.

Aveo имеет ряд общих черт с FormerFirstRAT, включая процедуры шифрования, повторное использование кода и сходство в функциональности C2.

Indicators of Compromise

IPv4

  • 50.63.202.38
  • 104.202.173.82
  • 107.180.36.179

SHA256

  • 9dccfdd2a503ef8614189225bbbac11ee6027590c577afcaada7e042e18625e2
  • 8101c298a33d91a985a5150d0254cf426601e4632250f5a03ddac39375e7fb4d

TTP - тактика, техника, процедуры

Тактика, методы и процедуры (TTP) обобщают предполагаемые методы MITRE ATT&CK, используемые Aveo.

ID Техника CWE Описание Доверие
1 T1006 CWE-22 Обход имени пути Высокий

 

 

Avatar for AdellMarzella
AdellMarzella
SEC-1275-1
Добавить комментарий