Get best of the week

Salam Tahun Baru dan COVID-19: bagaimana peretas menggunakan berita



Penjahat dunia maya sering menggunakan berita dan acara terbaru untuk mengirim file jahat. Sehubungan dengan pandemi coronavirus, banyak kelompok APT, termasuk Gamaredon, SongXY, TA428, Lazarus, Konni, Winnti, mulai menggunakan topik ini dalam kampanye mereka. Salah satu contoh terbaru dari kegiatan tersebut adalah serangan kelompok Higaisa dari Korea Selatan.

Pakar Pusat Keamanan PT mendeteksi dan menganalisis file berbahaya yang dibuat oleh Higaisa.

Contoh 1: laporan WHO palsu


Pemberitahuan Organisasi Kesehatan Dunia (WHO) pertama tentang penyebaran coronavirus muncul pada awal Maret. Dalam beberapa hari, peserta Higaisa mulai mengirim surat dengan file berbahaya. Untuk penyembunyian, file laporan WHO yang sah dalam format PDF digunakan.

Infeksi dimulai dengan file 20200308-sitrep-48-covid-19.pdf.lnk:

gambar

Isi file LNK

File ini adalah pintasan .lnk dengan ikon dokumen PDF. Ketika Anda mencoba untuk membuka, perintah cmd.exe / c dieksekusi dengan baris perintah berikut:

gambar

Menjalankan findstr.exe mengambil beban Base64 di akhir file LNK, yang kemudian diterjemahkan menggunakan CertUtil.exe (msioa.exe). Hasil penguraiannya adalah arsip CAB yang dibongkar ke dalam folder% tmp% yang sama dan berisi beberapa file, termasuk skrip instalasi malware, file laporan WHO asli (sebagai umpan), dan muatan penginstal.

Contoh 2: Salam Tahun Baru


Sampel kedua yang dianalisis adalah file RTF dengan salam Tahun Baru:

gambar

Dokumen dengan teks ucapan selamat

Dokumen ini dibuat menggunakan pembangun Royal Road RTF (atau 8.t) yang populer yang mengeksploitasi kerentanan CVE-2018-0798 di Microsoft Equation Editor. Pembangun ini tidak tersedia untuk umum, tetapi didistribusikan secara luas di antara kelompok APT Tiongkok, termasuk TA428, Goblin Panda, IceFog, SongXY . Nama 8.t disebabkan oleh fakta bahwa dokumen jahat selama operasi membuat file bernama 8.t di folder sementara yang berisi muatan terenkripsi.

Sebagai hasil dari mengeksploitasi kerentanan, file% APPDATA% \ microsoft \ word \ startup \ intel.wll dibuat. Ini adalah penetes DLL yang akan dimuat saat berikutnya Anda memulai Microsoft Word. Muatannya terdiri dari dua file:% ALLUSERSPROFILE% \ TotalSecurity \ 360ShellPro.exe dan% ALLUSERSPROFILE% \ TotalSecurity \ utils \ FileSmasher.exe. File dienkripsi menggunakan xor 0x1A.

gambar

Fungsi utama dari dropper intel.wll (fragmen)

Selanjutnya, ada fiksasi dalam sistem.

File ini bukan satu-satunya objek kepenulisan Higaisa yang serupa. Jadi, analis Tencent dicatatdistribusi file yang dapat dieksekusi berbahaya dengan nama Happy-new-year-2020.scr dan 2020-New-Year-Wishes-For-You.scr selama periode yang sama. Dalam hal ini, file sumber dapat dieksekusi, dan umpan hadir dalam bentuk kartu ucapan JPG, yang dibuka dan dibuka di penampil default:

gambar

Struktur ancaman ini, minus eksploitasi CVE-2018-0798, hampir identik dengan dokumen RTF. File SCR adalah dropper, payload didekripsi menggunakan xor 0x1A dan dibongkar menjadi subfolder di% ALLUSERSPROFILE%.

Kesimpulan


Sebuah studi oleh analis Positive Technologies mengungkap evolusi malware Higaisa. Pada saat yang sama, struktur alat yang digunakan (dropper, loader) sebagian besar tetap tidak berubah. Untuk mempersulit pendeteksian, penyerang memvariasikan detail individu, seperti URL server kontrol, parameter kunci RC4, file yang sah digunakan untuk SideLoading, dan pustaka untuk interaksi HTTP.

Laporan lengkap tersedia di sini .

More articles:


All Articles