冒充国税厅传播恶意LNK

2023年 9月 21日 57.9k 0

AhnLab实验室安全紧急响应中心 (ASEC) 确认,冒充国税厅的恶意 LNK 文件正在国内传播。过去已经使用过使用LNK的分发方法,并且最近已经确认了许多针对国内用户的分发。

最近确认的恶意 LNK 文件据信是通过电子邮件中附加的 URL 进行分发的。通过我们的基础设施确认的URL如下,下载名为“综合所得税申报表相关说明材料提交指南.zip”的压缩文件。经分析,下载的压缩文件中存在两个恶意LNK文件和正常的韩文文档。目前,从该URL下载的压缩文件中只存在三个正常的韩文文档,因此看来攻击者只是在短时间内传播恶意文件,给后续的分析和跟踪带来了困难。

  • 下载地址

hxxps://file.gdrive001[.]com/read/?cu=jaebonghouse&so=종합소득세%20신고관련%20해명자료%20제출%20안내.zip

[图1]含有恶意LNK的压缩文件

压缩文件中存在名为“国税局综合所得税说明提交指南.lnk”的恶意LNK文件,附加约300MB的虚拟数据,并包含恶意Powershell命令。

[图2] LNK中的Powershell命令

对于Powershell命令功能,首先创建LNK文件中存在的普通韩文文档,名称为“国税厅综合所得税澄清材料提交指南.hwp”,然后执行。以下是创建的正常韩文文档的内容。它通过冒充国税厅的方式伪装成涉税通知,用户在执行恶意LNK文件后可能会误认为执行了正常的韩文文档。

[图3] 普通韩文文档

然后,在“%Public%2641.zip ”路径下的LNK文件中创建相同的压缩文件。将创建的压缩文件解压后,运行start.vbs文件,删除LNK文件和压缩文件。解压后创建的文件如下,各文件的功能如[表1]所示。

[图4] 解压后创建的文件

[表1] 脚本函数

该脚本执行的最终恶意操作是窃取用户信息并下载其他恶意文件。被盗用户信息如下,信息发送至“hxxp://filehost001.com/upload.php” 。

  • 除臭信息

下载文件夹文件列表

文档文件夹文件列表

桌面文件夹文件列表

IP信息

运行进程列表

系统信息

[图5] 窃取用户信息

总共需要下载两个附加文件:一个 ZIP 文件和一个 CAB 文件。首先,使用unzip.exe解压ZIP文件,解压时需要密码(a)。然后,通过rundll32.exe加载创建的文件。

  • 下载地址

hxxps://file.gdrive001[.]com/read/get.php?cu=ln3&so=xu6502

[图6] 下载ZIP文件

使用expand命令解压CAB文件,并执行随后创建的temprun.bat文件。

  • 下载地址

hxxp://filehost001[.]com/list.php?f=%COMPUTERNAME%.txt

[图7] CAB文件下载

目前,这两个 URL 均无法访问,因此无法确认其他下载的文件。通过我们的基础设施确认的最终可执行恶意软件是 Qasar RAT 和 Amadey,根据攻击者上传的文件,可以下载各种恶意文件。

除了之前介绍过的冒充国税厅的LNK之外,恶意LNK还以如下所示的各种主题进行传播,因此请务必小心。

  • 分发文件名

230827-理事会参加机构状况.xlsx.lnk

202308 统一部组织重组说明材料.pdf.lnk

2023-2-停车登记申请表-学生用.hwp.lnk

课程登记配额.hwp.lnk

安全邮件.html.lnk

最近,针对国内用户的恶意LNK文件的传播不断增加,根据下载的文件,可能会造成额外的损害。用户应详细检查电子邮件的发件人,并避免查看来源不明的文件。此外,您应该定期检查电脑并确保您的安全产品始终更新到最新版本。

[文件诊断]

Downloader/LNK.Generic (2023.09.13.02)
Infostealer/BAT.Generic.S2319 (2023.09.11.02)
Downloader/BAT.Generic.SC192403 (2023.09.13.03)
Downloader/BAT.Generic.SC192404 (2023.09.13.03)
Downloader/BAT.Generic.SC192405 (2023.09.13.03)
Trojan/BAT.Runner.SC192407 (2023.09.13.03)

[行为诊断]

Fileless/EDR.Powershell.M11335

[IOC]

560e5977e5e5ce077adc9478cd93c2ac
7725d117d0bd0a7a5fb8ef101b019415
2d0747533d4d3f138481c4c4cda9ea1e
9c3eef28b4418c40a7071ddcba17f0e8
20f0e8362782c7451993e579336f2f3e
b5f698fb96835d155fbcc1ccd4f4b520
ca11ba5e641156ff72400e7f5e103aee
hxxps://file.gdrive001[.]com/read/?cu=jaebonghouse&so=종합소득세%20신고관련%20해명자료%20제출%20안내.zip
hxxps://file.gdrive001[.]com/read/get.php?cu=ln3&so=xu6502
hxxp://filehost001[.]com/list.php?f=%COMPUTERNAME%.txt

转载来源:https://asec.ahnlab.com/ko/57088/

图片来源网络侵权可联系删除

相关文章

Mallox勒索软件新Linux变种现世
伪装成破解程序和商业工具的新型恶意软件正在传播
Orcinius后门新样本分析
Poseidon窃取程序通过Google广告感染Mac用户
大选开始之际,欧盟各政党遭受 DDoS 攻击
微软2024

发布评论