Get best of the week

Saudações de ano novo e COVID-19: como os hackers usam as notícias



Os cibercriminosos costumam usar as últimas notícias e eventos para enviar arquivos maliciosos. Em conexão com a pandemia de coronavírus, muitos grupos de APT, incluindo Gamaredon, SongXY, TA428, Lazarus, Konni, Winnti, começaram a usar esse tópico em suas campanhas. Um exemplo recente dessa atividade são os ataques do grupo sul-coreano Higaisa.

Os especialistas do PT Expert Security Center detectaram e analisaram arquivos maliciosos criados pela Higaisa.

Exemplo 1: relatório falso da OMS


As primeiras notificações da Organização Mundial da Saúde (OMS) sobre a disseminação do coronavírus apareceram no início de março. Dentro de alguns dias, os participantes da Higaisa começaram a enviar cartas com um arquivo malicioso. Para ocultação, foi utilizado um arquivo de relatório legítimo da OMS em formato PDF.

A infecção começou com o arquivo 20200308-sitrep-48-covid-19.pdf.lnk: o

imagem

conteúdo do arquivo LNK O

arquivo é um atalho .lnk com o ícone do documento PDF. Quando você tenta abrir, o comando cmd.exe / c é executado com a seguinte linha de comando:

imagem

A execução de findstr.exe recupera a carga Base64 no final do arquivo LNK, que é decodificado usando o CertUtil.exe (msioa.exe). O resultado da decodificação é um arquivo CAB descompactado na mesma pasta% tmp% e contém vários arquivos, incluindo o script de instalação de malware, o arquivo de relatório original da OMS (como um engodo) e a carga útil do instalador.

Exemplo 2: Saudações de Ano Novo


A segunda amostra analisada é um arquivo RTF com saudações de ano novo:

imagem

um documento com um texto de felicitações O

documento foi criado usando o popular construtor Royal Road RTF (ou 8.t) que explora a vulnerabilidade CVE-2018-0798 no Microsoft Equation Editor. Este construtor não está disponível ao público, mas é amplamente distribuído entre os grupos chineses do APT, incluindo TA428, Goblin Panda, IceFog, SongXY . O nome 8.t deve-se ao fato de um documento malicioso durante a operação criar um arquivo denominado 8.t na pasta temporária que contém a carga criptografada.

Como resultado da exploração da vulnerabilidade, o arquivo% APPDATA% \ microsoft \ word \ startup \ intel.wll é criado. Este é um conta-gotas DLL que será carregado na próxima vez que você iniciar o Microsoft Word. Sua carga útil consiste em dois arquivos:% ALLUSERSPROFILE% \ TotalSecurity \ 360ShellPro.exe e% ALLUSERSPROFILE% \ TotalSecurity \ utils \ FileSmasher.exe. Os arquivos são criptografados usando xor 0x1A.

imagem

A principal função do conta-gotas intel.wll (fragmento)

Em seguida, há uma fixação no sistema.

Este arquivo não é o único objeto semelhante de autoria Higaisa. Então, os analistas da Tencent foram registradosdistribuição de arquivos executáveis ​​maliciosos com os nomes Happy-new-year-2020.scr e 2020-New-Year-Wishes-For-you.scr durante o mesmo período. Nesse caso, os arquivos de origem são executáveis ​​e a isca está presente na forma de um cartão JPG de saudação, que é descompactado e aberto no visualizador padrão:

imagem

A estrutura dessas ameaças, menos a exploração do CVE-2018-0798, é quase idêntica ao documento RTF. Os arquivos SCR são conta-gotas, a carga útil é descriptografada usando xor 0x1A e descompactada em uma subpasta em% ALLUSERSPROFILE%.

Conclusão


Um estudo realizado por analistas da Positive Technologies revelou a evolução do malware Higaisa. Ao mesmo tempo, a estrutura das ferramentas utilizadas (conta-gotas, carregadeiras) permanece praticamente inalterada. Para complicar a detecção, os invasores variam certos detalhes, como a URL do servidor de controle, os parâmetros das teclas RC4, os arquivos legítimos usados ​​para o SideLoading e as bibliotecas para interação HTTP.

O relatório completo está disponível aqui .

More articles:


All Articles