Aveo - семейство вредоносных программ, которые используются для атак на пользователей, говорящих на японском языке. Семейство вредоносных программ Aveo тесно связано с ранее обсуждаемым семейством FormerFirstRAT, которое также было замечено в использовании против японских пользователей. Aveo маскируется под документ Microsoft Excel и при выполнении подбрасывает документ-обманку. Документ-обманка связан с исследовательской инициативой, проводимой лабораторией Ido при Технологическом институте Сайтамы. После выполнения вредоносная программа Aveo принимает ряд команд, позволяя злоумышленникам получить полный контроль над компьютером жертвы.
Aveo Malware
Aveo настроен на взаимодействие со следующим доменным именем по протоколу HTTP:
1 | snoozetime.info |
Этот домен был впервые зарегистрирован в мае 2015 года на имя '[email protected]'.
После запуска самораспаковывающегося исполняемого файла в файловую систему сбрасывается ряд файлов и наблюдается следующий поток выполнения:
Когда исполняемый файл mshelp32.exe запускается, он начинает с чтения файла setting32.ini, который содержит имя документа-обманки. Эта информация используется для создания пакетного сценария, который выполняется в новом процессе и действует как простой сценарий очистки, который запускается после выполнения Aveo и документа-обманки.
Вредоносная программа Aveo сначала запускает процедуру установки, которая копирует себя в следующее место:
1 | %APPDATA%\MMC\MMC.exe |
Если по какой-либо причине каталог %APPDATA%\MMC не может быть создан, Aveo будет использовать %TEMP% вместо %APPDATA%.
После того как вредоносная программа скопирует себя, она выполнит MMC.exe в новом процессе с аргументом в виде имени исходного файла. При выполнении, если этот единственный аргумент будет предоставлен, вредоносная программа удалит указанный путь к файлу.
После завершения процедуры установки Aveo передаст следующую информацию о жертве на удаленный сервер по протоколу HTTP:
- Уникальный хэш жертвы
- IP-адрес
- Версия Microsoft Windows
- Имя пользователя
- Идентификатор кодовой страницы ANSI
Эта информация передается на домен 'snoozetime[.]info'.
Для шифрования предоставленных данных вредоносная программа использует алгоритм RC4, используя ключ 'hello'.
Aveo имеет ряд общих черт с FormerFirstRAT, включая процедуры шифрования, повторное использование кода и сходство в функциональности C2.
Indicators of Compromise
IPv4
- 50.63.202.38
- 104.202.173.82
- 107.180.36.179
SHA256
- 9dccfdd2a503ef8614189225bbbac11ee6027590c577afcaada7e042e18625e2
- 8101c298a33d91a985a5150d0254cf426601e4632250f5a03ddac39375e7fb4d
TTP - тактика, техника, процедуры
Тактика, методы и процедуры (TTP) обобщают предполагаемые методы MITRE ATT&CK, используемые Aveo.
ID | Техника | CWE | Описание | Доверие |
1 | T1006 | CWE-22 | Обход имени пути | Высокий |