Get best of the week

تحيات السنة الجديدة و COVID-19: كيف يستخدم المتسللون الأخبار



غالبًا ما يستخدم مجرمو الإنترنت أحدث الأخبار والأحداث لإرسال الملفات الضارة. فيما يتعلق بوباء الفيروس التاجي ، بدأت العديد من مجموعات APT ، بما في ذلك Gamaredon ، SongXY ، TA428 ، Lazarus ، Konni ، Winnti ، في استخدام هذا الموضوع في حملاتهم. أحد الأمثلة الأخيرة على هذا النشاط هو هجمات المجموعة الكورية الجنوبية Higaisa. اكتشف

خبراء PT Expert Security Center وتحليل الملفات الضارة التي أنشأتها Higaisa.

مثال 1: تقرير منظمة الصحة العالمية المزيف


ظهرت أول إخطارات منظمة الصحة العالمية (WHO) عن انتشار فيروس كورونا في أوائل مارس. في غضون أيام قليلة ، بدأ المشاركون في Higaisa بإرسال رسائل مع ملف ضار. للإخفاء ، تم استخدام ملف تقرير منظمة الصحة العالمية بتنسيق PDF.

بدأت الإصابة بالملف 20200308-sitrep-48-covid-19.pdf.lnk:

صورة

محتويات ملف LNK

الملف عبارة عن اختصار .lnk مع أيقونة مستند PDF. عند محاولة الفتح ، يتم تنفيذ الأمر cmd.exe / c باستخدام سطر الأوامر التالي:

صورة

يعمل تشغيل findstr.exe على استرداد تحميل Base64 في نهاية ملف LNK ، والذي يتم فك تشفيره بعد ذلك باستخدام CertUtil.exe (msioa.exe). نتيجة فك التشفير هي أرشيف CAB الذي تم تفريغه في نفس المجلد٪ tmp٪ ويحتوي على عدة ملفات ، بما في ذلك البرنامج النصي لتثبيت البرامج الضارة وملف تقرير منظمة الصحة العالمية الأصلي (كخداع) وحمولة المثبت.

مثال 2: تحيات السنة الجديدة


العينة الثانية التي تم تحليلها هي ملف RTF مع تحيات العام الجديد:

صورة

مستند يحتوي على نص تهنئة

تم إنشاء المستند باستخدام منشئ Royal Road RTF (أو 8.t) الشهير الذي يستغل الثغرة CVE-2018-0798 في محرر المعادلات من Microsoft. هذا المنشئ غير متاح للجمهور ، ولكن يتم توزيعه على نطاق واسع بين مجموعات APT الصينية ، بما في ذلك TA428 ، Goblin Panda ، IceFog ، SongXY . يرجع الاسم 8.t إلى حقيقة أن مستندًا ضارًا أثناء العملية ينشئ ملفًا باسم 8.t في المجلد المؤقت الذي يحتوي على الحمولة المشفرة.

نتيجة لاستغلال الثغرة الأمنية ، يتم إنشاء الملف٪ APPDATA٪ \ microsoft \ word \ startup \ intel.wll. هذا هو قطارة DLL التي سيتم تحميلها في المرة التالية التي تبدأ فيها تشغيل Microsoft Word. تتكون الحمولة الخاصة به من ملفين:٪ ALLUSERSPROFILE٪ \ TotalSecurity \ 360ShellPro.exe و٪ ALLUSERSPROFILE٪ \ TotalSecurity \ utils \ FileSmasher.exe. يتم تشفير الملفات باستخدام xor 0x1A.

صورة

الوظيفة الرئيسية للقطارة intel.wll (جزء)

بعد ذلك ، هناك تثبيت في النظام.

هذا الملف ليس هو الشيء الوحيد المشابه للمؤلف Higaisa. لذلك ، تم تسجيل محللين تينسنتتوزيع الملفات القابلة للتنفيذ الخبيثة بأسماء Happy-new-year-2020.scr و 2020-New-Year-Wishes-For-You.scr خلال نفس الفترة. في هذه الحالة ، تكون الملفات المصدر قابلة للتنفيذ ، والطُعم موجود في شكل بطاقة تهنئة JPG ، والتي يتم تفكيكها وفتحها في العارض الافتراضي:

صورة

هيكل هذه التهديدات ، ناقص استغلال CVE-2018-0798 ، مطابق تقريبًا لوثيقة RTF. ملفات SCR هي قطرات ، يتم فك تشفير الحمولة باستخدام xor 0x1A وتفريغها في مجلد فرعي في٪ ALLUSERSPROFILE٪.

استنتاج


كشفت دراسة أجراها محللو التقنيات الإيجابية تطور برمجيات Higaisa الضارة. في الوقت نفسه ، يبقى هيكل الأدوات المستخدمة (القطارات ، اللوادر) دون تغيير إلى حد كبير. لتعقيد الكشف ، يغير المهاجمون التفاصيل الفردية ، مثل عنوان URL الخاص بخادم التحكم ومعلمات مفتاح RC4 والملفات الشرعية المستخدمة في التحميل الجانبي والمكتبات لتفاعل HTTP.

التقرير الكامل متاح هنا .

More articles:


All Articles