Get best of the week

Neujahrsgrüße und COVID-19: Wie Hacker die Nachrichten nutzen



Cyberkriminelle verwenden häufig die neuesten Nachrichten und Ereignisse, um schädliche Dateien zu senden. Im Zusammenhang mit der Coronavirus-Pandemie haben viele APT-Gruppen, darunter Gamaredon, SongXY, TA428, Lazarus, Konni und Winnti, begonnen, dieses Thema in ihren Kampagnen zu verwenden. Ein aktuelles Beispiel für solche Aktivitäten sind die Angriffe der südkoreanischen Gruppe Higaisa.

Experten des PT Expert Security Center haben von Higaisa erstellte schädliche Dateien erkannt und analysiert .

Beispiel 1: gefälschter WHO-Bericht


Die ersten Meldungen der Weltgesundheitsorganisation (WHO) über die Ausbreitung des Coronavirus wurden Anfang März veröffentlicht. Innerhalb weniger Tage begannen die Higaisa-Teilnehmer, Briefe mit einer schädlichen Datei zu versenden. Zur Verschleierung wurde eine legitime WHO-Berichtsdatei im PDF-Format verwendet.

Die Infektion begann mit der Datei 20200308-sitrep-48-covid-19.pdf.lnk: Der

Bild

Inhalt der LNK-Datei Die

Datei ist eine .lnk-Verknüpfung mit dem Symbol des PDF-Dokuments. Wenn Sie versuchen zu öffnen, wird der Befehl cmd.exe / c mit der folgenden Befehlszeile ausgeführt:

Bild

Wenn Sie findstr.exe ausführen, wird die Base64-Last am Ende der LNK-Datei abgerufen, die dann mit CertUtil.exe (msioa.exe) dekodiert wird. Das Dekodierungsergebnis ist ein CAB-Archiv, das in denselben% tmp% -Ordner entpackt wird und mehrere Dateien enthält, einschließlich des Malware-Installationsskripts, der ursprünglichen WHO-Berichtsdatei (als Lockvogel) und der Nutzdaten des Installationsprogramms.

Beispiel 2: Neujahrsgrüße


Das zweite analysierte Beispiel ist eine RTF-Datei mit Neujahrsgrüßen:

Bild

Ein Dokument mit einem Glückwunschtext Das

Dokument wurde mit dem beliebten RTF-Builder (oder 8.t) von Royal Road erstellt, der die Sicherheitsanfälligkeit CVE-2018-0798 im Microsoft Equation Editor ausnutzt. Dieser Builder ist nicht öffentlich verfügbar, ist jedoch unter chinesischen APT-Gruppen weit verbreitet , darunter TA428, Goblin Panda, IceFog und SongXY . Der Name 8.t ist darauf zurückzuführen, dass ein schädliches Dokument während des Betriebs eine Datei mit dem Namen 8.t im temporären Ordner erstellt, der die verschlüsselten Nutzdaten enthält.

Als Ergebnis der Ausnutzung der Sicherheitsanfälligkeit wird die Datei% APPDATA% \ microsoft \ word \ startup \ intel.wll erstellt. Dies ist ein DLL-Dropper, der beim nächsten Start von Microsoft Word geladen wird. Die Nutzdaten bestehen aus zwei Dateien:% ALLUSERSPROFILE% \ TotalSecurity \ 360ShellPro.exe und% ALLUSERSPROFILE% \ TotalSecurity \ utils \ FileSmasher.exe. Dateien werden mit xor 0x1A verschlüsselt.

Bild

Die Hauptfunktion des Droppers intel.wll (Fragment)

Als nächstes gibt es eine Fixierung im System.

Diese Datei ist nicht das einzige ähnliche Objekt der Urheberschaft Higaisa. So wurden Tencent-Analysten registriertVerteilung von schädlichen ausführbaren Dateien mit den Namen Happy-new-year-2020.scr und 2020-New-Year-Wishes-For-You.scr im selben Zeitraum. In diesem Fall sind die Quelldateien ausführbar, und der Köder liegt in Form einer JPG-Grußkarte vor, die entpackt und im Standard-Viewer geöffnet wird:

Bild

Die Struktur dieser Bedrohungen abzüglich der Ausnutzung von CVE-2018-0798 ist nahezu identisch mit dem RTF-Dokument. SCR-Dateien sind Dropper, die Nutzdaten werden mit xor 0x1A entschlüsselt und in% ALLUSERSPROFILE% in einen Unterordner entpackt.

Fazit


Eine Studie von Analysten von Positive Technologies ergab die Entwicklung der Higaisa-Malware. Gleichzeitig bleibt die Struktur der verwendeten Werkzeuge (Tropfer, Lader) weitgehend unverändert. Um die Erkennung zu erschweren, variieren die Angreifer bestimmte Details, z. B. die URL des Steuerungsservers, die Parameter des RC4-Schlüssels, legitime Dateien für SideLoading und Bibliotheken für die HTTP-Interaktion.

Der vollständige Bericht ist hier verfügbar .

More articles:


All Articles