Get best of the week

新年问候和COVID-19:黑客如何使用新闻



网络罪犯经常使用最新新闻和事件来发送恶意文件。与冠状病毒大流行有关,许多APT团体,包括Gamaredon,SongXY,TA428,Lazarus,Konni,Winnti,开始在他们的竞选活动中使用这一主题。最近发生的这种活动的一个例子是韩国组织Higaisa的袭击。

PT专家安全中心专家检测并分析了Higaisa创建的恶意文件。

范例1:伪造的WHO报告


3月初,世界卫生组织(WHO)首次发布了关于冠状病毒传播的通知。几天后,Higaisa参与者开始发送带有恶意文件的信件。为了隐瞒,使用了合法的PDF格式的WHO报告文件。

感染始于文件20200308-sitrep-48-covid-19.pdf.lnk:

图片

LNK文件的内容该

文件是带有PDF文档图标的.lnk快捷方式。当您尝试打开时,将使用以下命令行执行cmd.exe / c命令:

图片

运行findstr.exe会在LNK文件的末尾检索Base64负载,然后使用CertUtil.exe(msioa.exe)对其进行解码。解码结果是一个CAB存档,该存档被解压缩到同一%tmp%文件夹中,并包含几个文件,包括恶意软件安装脚本,原始WHO报告文件(作为诱饵)和安装程序有效负载。

示例2:新年的问候


分析的第二个示例是带有新年祝福的RTF文件:

图片

带有祝贺文本的

文档文档是使用颇受好评的Royal Road RTF(或8.t)构建器创建的,利用Microsoft Equation Editor中的CVE-2018-0798漏洞。该构建器尚未公开,但已在中国APT组织中广泛分发,包括TA428,地精熊猫,IceFog和SongXY。之所以命名为8.t,是因为在操作过程中,恶意文档会在包含加密有效负载的临时文件夹中创建一个名为8.t的文件。

利用此漏洞的结果是,创建了文件%​​APPDATA%\ microsoft \ word \ startup \ intel.wll。这是一个DLL删除器,下次启动Microsoft Word时将被加载。它的有效负载包含两个文件:%ALLUSERSPROFILE%\ TotalSecurity \ 360ShellPro.exe和%ALLUSERSPROFILE%\ TotalSecurity \ utils \ FileSmasher.exe。使用xor 0x1A加密文件。

图片

滴管intel.wll(片段)的主要功能

接下来,系统中有一个固定项。

该文件不是作者Higaisa的唯一类似对象。因此,腾讯分析师被记录在案。在同一时期内分发名称为Happy-new-year-2020.scr和2020-New-Year-Wishes-For-You.scr的恶意可执行文件。在这种情况下,源文件是可执行文件,并且诱饵以问候JPG卡的形式出现,并且已在默认查看器中解压缩并打开:

图片

这些威胁的结构(减去对CVE-2018-0798的利用)与RTF文档几乎相同。SCR文件是丢弃程序,有效负载使用xor 0x1A解密,并解压缩到%ALLUSERSPROFILE%中的子文件夹中。

结论


Positive Technologies分析师进行的一项研究显示了Higaisa集团恶意对象的演变。同时,所使用的工具(滴管,装载器)的结构在很大程度上保持不变。为了使检测复杂化,攻击者会更改某些详细信息,例如控制服务器的URL,RC4密钥的参数,用于SideLoading的合法文件以及用于HTTP交互的库。

完整的报告可在此处获得

More articles:


All Articles