Internet Macros мертвы или живы?

security Security
Опубликовано

В начале февраля 2022 года компания Microsoft объявила, что Internet Macros будут блокироваться по умолчанию для повышения безопасности Microsoft Office. Согласно их блогу, опубликованному в конце февраля 2023 года, это изменение начало распространяться в некоторых каналах обновлений в апреле 2022 года. Другие каналы последовали в июле и октябре 2022 года, а окончательное развертывание произошло в январе 2023 года.

Internet Macros

Office использует специальный алгоритм для определения того, запускать ли макросы в файлах из Интернета. Процесс начинается с проверки атрибута файла. Если он имеет атрибут Mark of the Web (MOTW), проверяется, является ли он из доверенного места, выполняются другие процессы, и на основании этих результатов принимается решение о блокировании или запуске макроса.

После этого объявления FortiGuard Labs заметили, что субъекты киберугроз начали тестировать и внедрять новые векторы заражения для замены макросов Office. Несколько методов включают использование файлов .hta, .lnk и .chm, использование уязвимостей Office (наиболее распространенные - Equation Editor и Follina), а также использование киберугрозами в прошлом году файлов xll для распространения вредоносной полезной нагрузки.

Наиболее распространенным методом, используемым несколькими субъектами киберпреступности и государствами, является использование файлов образов ISO, которые обычно содержат файл .lnk и полезную нагрузку dll для распространения своего вредоносного ПО. В этом методе жертва должна выполнить файл .lnk, который приводит к выполнению файла dll - обычно либо вредоносной полезной нагрузки, либо загрузчика, который захватывает полезную нагрузку следующего этапа. Эти ISO-образы либо непосредственно прикрепляются к спаму/фишинговому письму, либо передаются с помощью других методов, таких как контрабанда html, когда к спаму/фишинговому письму прикрепляется html-файл, при открытии которого на машину жертвы передается вредоносный ISO-файл. Мы рассказывали об этих методах в блогах в прошлом году, здесь и здесь.

Несмотря на то, что некоторые субъекты киберугроз приняли ТТП, позволяющие отказаться от использования макросов Office, мы наблюдали, что некоторые субъекты угроз по-прежнему используют макросы Office для инициирования своих атак. В этом блоге мы представляем обзор некоторых интересных документов с макросами Office, которые мы наблюдали в начале этого года (о некоторых из этих действий уже сообщали исследователи безопасности в Twitter). Стоит отметить, что, хотя некоторые из субъектов угроз осуществляли несколько видов деятельности, мы рассматриваем в этом посте только один из них в качестве примера.

Emotet

Emotet - это модульная вредоносная программа, появившаяся в природе примерно в 2014 году и работающая как банковская вредоносная программа в организованном ботнете. Но в настоящее время Emotet в основном работает как загрузчик дополнительных полезных нагрузок, таких как IcedId, и в конечном итоге развертывает ransomware.

В качестве одного из методов распространения Emotet выбрал .lnk-файлы, используя этот метод в середине 2022 года. 7 марта этого года Emotet снова начал свою деятельность, и на этот раз для распространения Emotet злоумышленник использует вредоносные документы.

В этой новой кампании вредоносные документы, оснащенные макросами, встраиваются в архивный файл и используются в качестве вложений в спамовых письмах. Приманка, которую они используют, хорошо известна, она применялась этими угрожающими субъектами в их предыдущих кампаниях.

Это не единственный шаблон, использованный в данной кампании. Мы также заметили, что агент использовал другой шаблон для распространения Emotet.
Все URL-адреса, строки и имена файлов закодированы в макросе. Он также включает функцию декодера для декодирования этих строк. Функция декодера получает три аргумента: жестко закодированную строку, массив чисел, которые заполняются перед вызовом функции декодера, и размер. Функция выполняет цикл с заданным размером и каждый раз использует функцию Mid, чтобы найти нужный символ из закодированной строки и сложить их вместе для построения строки. Массив чисел показывает, какой символ нужно выбрать. Выполнение всех функций осуществляется функцией CallByName. Эта функция выполняет метод объекта.

Макрос сначала декодирует все закодированные URL-адреса, а затем создает имя файла для хранения полезной нагрузки Emotet. Имя файла также декодируется и является текущим временем машины. Например, если время 12:25:23, имя файла будет 122523.tmp.

Затем он формирует необходимые параметры для каждого URL и выполняет HTTP-запрос для получения полезной нагрузки Emotet. Более конкретно, он добавляет текущее время (в формате, используемом для создания имени файла .tmp) и параметр в конец URL (обычно c=1).

Он выполняет HTTP-запросы и проверяет статус, пока не получит '200', что означает, что сервер ответил. Затем он загружает тело ответа, которое представляет собой zip-файл, и сохраняет его на машине жертвы в том же месте, где находится документ Word. После этого он извлекает zip-файл и перемещает содержимое архивного файла в файл tmp, имя которого было создано на предыдущем этапе. Затем он удаляет и zip-файл, и извлеченный каталог. На последнем этапе он вызывает RegSvr32.exe для выполнения полезной нагрузки.

Gozi ISFB

Gozi ISFB, также известный как Ursnif, - это банковский троян, который распространяется через спам-кампании, наборы эксплойтов и поддельные страницы. В последнее время этот троян распространялся с помощью различных методов, таких как .hta и .lnk файлы, но он также все еще распространяется с помощью макросов в документах Excel. В недавней спам-кампании 9 марта они использовали архивные файлы с макро-вложенными файлами Excel в качестве вложений к спам-письмам, направленным на пользователей в Италии.

Документ Excel содержит макрос, который загружает и выполняет полезную нагрузку Gozi. Включение макросов не активирует выполнение загрузки, поскольку основная функция выполняется, когда конечный пользователь нажимает кнопку "APRI (Открыть)". Нажатие этой кнопки приводит к выполнению функции "бенефициара". Эта функция проста. Как вы можете видеть ниже, URL загрузки закодирован в макросе, но имеет несколько цифр между каждым символом. Затем она использует UrlDownloadToFileA для загрузки полезной нагрузки и сохранения ее в файл .cvs в каталоге Document. Затем он использует функцию VBA.Shell для выполнения загруженной dll с помощью rundll32. Он также очищает кэш Internet Explorer с помощью команды Shell.

Donot APT

Donot APT, также известная как APT-C-35 и SectorE02, является угрозой, направленной на организации и частных лиц в Южной Азии - в частности, в Бангладеш, Шри-Ланке, Пакистане и Непале - по крайней мере, с 2016 года. Эта группа использует для атак на своих жертв фишинговые электронные письма, снабженные вредоносными документами.

Мы заметили, что группа по-прежнему использует вредоносные документы для атак на своих жертв. В начале 2023 года мы наблюдали, как этот агент использовал некоторые maldocs, и в этом разделе мы рассмотрим самую последнюю кампанию, проведенную этим агентом. Большинство наблюдаемых нами maldocs имели время создания около 2021 года, но все они были связаны с доменами, созданными за последние 30 дней. Это говорит о том, что угрожающий агент повторно использовал maldocs, ранее созданные им в кампаниях февраля и марта 2023 года.

Встроенный макрос использует комбинацию малоизвестных API для внедрения шеллкода в память Microsoft Office: NtAllocateVitualMemory, WideCharToMulitBytes и Internal_EnumUILanguages. API Internal_EnumUIlanguages используется в качестве обратного вызова для выполнения шеллкода. Эти вызовы API обходят черные списки, которые обнаруживают известные функции в VBA, такие как Shell и Run.

Внедренный шеллкод подключается к своим C2 для получения полезной нагрузки на следующем этапе. Он также создает запланированную задачу для осуществления соединений со своим C2.

Confucius APT

Confucius - это угрожающий агент, который с 2013 года проводит кибершпионские кампании в основном против Пакистана. Этот угрожающий агент использовал документы на основе макросов в своих прошлых кампаниях и продолжает использовать тот же метод для инициирования своих текущих атак. В одной из последних операций, проведенной в феврале этого года, они использовали документы на основе макросов для атаки на финансовый отдел правительства Пакистана.

Макрос сбрасывает текстовый файл в каталог Public/Pictures, а затем создает службу запланированных задач для выполнения текстового файла в определенное время. На самом деле, сброшенный текстовый файл является шеллкодом, который будет выполнен вызовом PowerShell.

powershell.EXE -w hidden iex([System.Text.Encoding]::ASCII).GetString((([string](get-content -path C:\Users\Public\Pictures\walpaper.jpeg.txt)).replace(' ','')).split(',')))

SideCopy APT

SideCopy - пакистанская угроза, направленная в основном на Индию, по крайней мере с 2019 года. Для инициирования своих атак он использует различные методы, такие как файлы .lnk, документы с макросами и троянские приложения. В одной из последних операций они использовали документы word с макросами для атак на правительство Индии.

Макрос прост. Его выполнение начинается, когда пользователь закрывает документ. Он подключается к своему серверу для загрузки содержимого полезной нагрузки в текстовом формате, которую затем преобразует в исполняемый файл и сохраняет в каталоге Startup для выполнения после перезагрузки машины.

Неизвестный APT

1 марта FortiGuard Labs обнаружили новый вредоносный документ, который мог быть направлен на вьетнамских пользователей. Вредоносный документ был оснащен макросом, что является еще одним примером того, что угрожающие субъекты все еще полагаются на документы с макросами для инициирования своих атак.

Встроенный макрос сбрасывает архивный файл, содержащий все вредоносные файлы, необходимые для этой атаки. Архивный файл содержит пакетные сценарии, сценарии

На следующем этапе он перемещает свой архивный файл в каталог APPDATA/Microsoft и распаковывает его. Встроенные в архивный файл dll выполняют основную вредоносную деятельность. Макрос отвечает только за загрузку нужного dll-файла в зависимости от версии ОС и последующий вызов его функции экспорта. Файл dll отвечает за создание трех запланированных задач (Script_Update, Windows_Executor, Windows_Update) и их выполнение через определенные промежутки времени. Каждая запланированная задача выполняет один из скриптов, встроенных в архивный файл.

FortiGuard Labs также обнаружили еще один документ, связанный с этим агентом, который был загружен на VirusTotal в декабре 2022 года. Это может указывать на то, что агент был активен в течение последних нескольких месяцев.

Indicators of Compromise

SHA256

  • 0bf7da0f25207576120c998df04bd26dc9804eac1fdd20aaddb579ed1a07ea1a
  • 104763a142c5730f2e27244181e40447d194545ffa327c75e8c727ba28cea425
  • 18e4a499e11b3fe1691b627aebb330fcafc656d9b9505178f832697cda5f1eae
  • 6212f82f82fa56b29731f0fff760c2cd526183af6d88921dadcf27a966ca8e0b
  • 716298589ab48b187c127e9dbe47dd78487d0e4fd1841bf09d7e45027a23ac06
  • 8dfedb354b4d23fb31c24d449dae841a40759d8ed04a904bbb271f08dfa6e006
  • b277a824b2671f40298ce03586a2ccc0fca2a081a66230c57a3060c2028f13ee
  • b5d8736bec449e3463ad6f0460782453ed69bb81a1b4a78847815b4fb64bfe94
  • c32083e3a599d9741f764aa1cb88394902a9f87fe1c6ef627792739a5ed7f58e
  • e7d2d26cc056b607b7af96cc08d66a168555afc38cf29b37729f4b90141fa5db
Похожие записи:
  1. Emotet Trojan IOC
  2. Emotet Botnet IOCs
  3. APT34 APT IOCs
  4. 00519ead Trojan
  5. 0ktapus APT
APT Confucius Donot Emotet FortiGuard Labs Gozi SideCopy trojan Ursnif
Добавить комментарий