Get best of the week

Saludos de Año Nuevo y COVID-19: cómo los hackers usan las noticias



Los ciberdelincuentes suelen utilizar las últimas noticias y eventos para enviar archivos maliciosos. En relación con la pandemia de coronavirus, muchos grupos de APT, incluidos Gamaredon, SongXY, TA428, Lazarus, Konni, Winnti, comenzaron a utilizar este tema en sus campañas. Un ejemplo reciente de tal actividad son los ataques del grupo surcoreano Higaisa.

Los expertos de PT Expert Security Center detectaron y analizaron archivos maliciosos creados por Higaisa.

Ejemplo 1: informe falso de la OMS


Las primeras notificaciones de la Organización Mundial de la Salud (OMS) sobre la propagación del coronavirus aparecieron a principios de marzo. En pocos días, los participantes de Higaisa comenzaron a enviar cartas con un archivo malicioso. Para el ocultamiento, se utilizó un archivo de informe legítimo de la OMS en formato PDF.

La infección comenzó con el archivo 20200308-sitrep-48-covid-19.pdf.lnk: El

imagen

contenido del archivo LNK El

archivo es un acceso directo .lnk con el ícono del documento PDF. Cuando intenta abrir, el comando cmd.exe / c se ejecuta con la siguiente línea de comando:

imagen

La ejecución de findtr.exe recupera la carga de Base64 al final del archivo LNK, que luego se decodifica utilizando CertUtil.exe (msioa.exe). El resultado de la decodificación es un archivo CAB que se descomprime en la misma carpeta% tmp% y contiene varios archivos, incluido el script de instalación de malware, el archivo de informe original de la OMS (como señuelo) y la carga útil del instalador.

Ejemplo 2: saludos de año nuevo


La segunda muestra analizada es un archivo RTF con saludos de Año Nuevo:

imagen

un documento con un texto de felicitación. El

documento fue creado utilizando el popular generador Royal Road RTF (u 8.t) que explota la vulnerabilidad CVE-2018-0798 en el Editor de ecuaciones de Microsoft. Este constructor no está disponible públicamente, pero se distribuye ampliamente entre los grupos APT chinos, incluidos TA428, Goblin Panda, IceFog, SongXY . El nombre 8.t se debe al hecho de que un documento malicioso durante la operación crea un archivo llamado 8.t en la carpeta temporal que contiene la carga cifrada.

Como resultado de la explotación de la vulnerabilidad, se crea el archivo% APPDATA% \ microsoft \ word \ startup \ intel.wll. Este es un cuentagotas de DLL que se cargará la próxima vez que inicie Microsoft Word. Su carga útil consta de dos archivos:% ALLUSERSPROFILE% \ TotalSecurity \ 360ShellPro.exe y% ALLUSERSPROFILE% \ TotalSecurity \ utils \ FileSmasher.exe. Los archivos se cifran con xor 0x1A.

imagen

La función principal del dropper intel.wll (fragmento)

A continuación, hay una fijación en el sistema.

Este archivo no es el único objeto similar de autoría de Higaisa. Entonces, los analistas Tencent fueron registradosdistribución de archivos ejecutables maliciosos con los nombres Happy-new-year-2020.scr y 2020-New-Year-Wishes-For-You.scr durante el mismo período. En este caso, los archivos de origen son ejecutables, y el cebo está presente en forma de una tarjeta JPG de saludo, que se desempaqueta y se abre en el visor predeterminado:

imagen

la estructura de estas amenazas, menos la explotación de CVE-2018-0798, es casi idéntica al documento RTF. Los archivos SCR son cuentagotas, la carga útil se descifra con xor 0x1A y se descomprime en una subcarpeta en% ALLUSERSPROFILE%.

Conclusión


Un estudio realizado por analistas de Positive Technologies mostró la evolución de los objetos maliciosos del grupo Higaisa. Al mismo tiempo, la estructura de las herramientas utilizadas (cuentagotas, cargadores) permanece prácticamente sin cambios. Para complicar la detección, los atacantes varían los detalles individuales, como la URL del servidor de control, los parámetros de la clave RC4, los archivos legítimos utilizados para SideLoading y las bibliotecas para la interacción HTTP.

El informe completo está disponible aquí .

More articles:


All Articles