Get best of the week

Salutations du Nouvel An et COVID-19: comment les pirates informatiques utilisent les nouvelles



Les cybercriminels utilisent souvent les dernières nouvelles et événements pour envoyer des fichiers malveillants. Dans le cadre de la pandémie de coronavirus, de nombreux groupes APT, dont Gamaredon, SongXY, TA428, Lazarus, Konni, Winnti, ont commencé à utiliser ce sujet dans leurs campagnes. Un exemple récent d'une telle activité est les attaques du groupe sud-coréen Higaisa.

Les experts de PT Expert Security Center ont détecté et analysé les fichiers malveillants créés par Higaisa.

Exemple 1: faux rapport de l'OMS


Les premières notifications de la propagation du coronavirus par l'Organisation mondiale de la santé (OMS) sont apparues début mars. En quelques jours, les participants à Higaisa ont commencé à envoyer des lettres contenant un fichier malveillant. Pour la dissimulation, un fichier de rapport OMS légitime au format PDF a été utilisé.

L'infection a commencé avec le fichier 20200308-sitrep-48-covid-19.pdf.lnk: le

image

contenu du fichier LNK Le

fichier est un raccourci .lnk avec l'icône du document PDF. Lorsque vous essayez d'ouvrir, la commande cmd.exe / c est exécutée avec la ligne de commande suivante:

image

L'exécution de findstr.exe récupère la charge Base64 à la fin du fichier LNK, qui est ensuite décodé à l'aide de CertUtil.exe (msioa.exe). Le résultat du décodage est une archive CAB qui est décompressée dans le même dossier% tmp% et contient plusieurs fichiers, y compris le script d'installation du logiciel malveillant, le fichier de rapport OMS d'origine (en tant que leurre) et la charge utile du programme d'installation.

Exemple 2: salutations du nouvel an


Le deuxième échantillon analysé est un fichier RTF avec les vœux du Nouvel An:

image

un document avec un texte de félicitations Le

document a été créé à l'aide du populaire constructeur Royal Road RTF (ou 8.t) exploitant la vulnérabilité CVE-2018-0798 dans Microsoft Equation Editor. Ce générateur n'est pas accessible au public, mais est largement distribué parmi les groupes chinois APT, notamment TA428, Goblin Panda, IceFog, SongXY . Le nom 8.t est dû au fait qu'un document malveillant pendant l'opération crée un fichier nommé 8.t dans le dossier temporaire qui contient la charge utile chiffrée.

Suite à l'exploitation de la vulnérabilité, le fichier% APPDATA% \ microsoft \ word \ startup \ intel.wll est créé. Il s'agit d'un compte-gouttes DLL qui sera chargé au prochain démarrage de Microsoft Word. Sa charge utile se compose de deux fichiers:% ALLUSERSPROFILE% \ TotalSecurity \ 360ShellPro.exe et% ALLUSERSPROFILE% \ TotalSecurity \ utils \ FileSmasher.exe. Les fichiers sont cryptés à l'aide de xor 0x1A.

image

La fonction principale du compte-gouttes intel.wll (fragment)

Ensuite, il y a une fixation dans le système.

Ce fichier n'est pas le seul objet similaire de paternité Higaisa. Ainsi, les analystes de Tencent ont été enregistrésdistribution de fichiers exécutables malveillants portant les noms Happy-new-year-2020.scr et 2020-New-Year-Wishes-For-You.scr au cours de la même période. Dans ce cas, les fichiers sources sont exécutables, et l'appât se présente sous la forme d'une carte JPG de salutation, qui est décompressée et ouverte dans la visionneuse par défaut:

image

La structure de ces menaces, moins l'exploitation de CVE-2018-0798, est presque identique au document RTF. Les fichiers SCR sont des compte-gouttes, la charge utile est déchiffrée à l'aide de xor 0x1A et décompressée dans un sous-dossier dans% ALLUSERSPROFILE%.

Conclusion


Une étude réalisée par des analystes de Positive Technologies a révélé l'évolution du malware Higaisa. Dans le même temps, la structure des outils utilisés (compte-gouttes, chargeurs) reste largement inchangée. Pour compliquer la détection, les attaquants modifient des détails individuels, tels que l'URL du serveur de contrôle, les paramètres de la clé RC4, les fichiers légitimes utilisés pour le chargement latéral et les bibliothèques pour l'interaction HTTP.

Le rapport complet est disponible ici .

More articles:


All Articles