冒充国税厅传播恶意LNK

AhnLab实验室安全紧急响应中心 (ASEC) 确认，冒充国税厅的恶意 LNK 文件正在国内传播。过去已经使用过使用LNK的分发方法，并且最近已经确认了许多针对国内用户的分发。

最近确认的恶意 LNK 文件据信是通过电子邮件中附加的 URL 进行分发的。通过我们的基础设施确认的URL如下，下载名为“综合所得税申报表相关说明材料提交指南.zip”的压缩文件。经分析，下载的压缩文件中存在两个恶意LNK文件和正常的韩文文档。目前，从该URL下载的压缩文件中只存在三个正常的韩文文档，因此看来攻击者只是在短时间内传播恶意文件，给后续的分析和跟踪带来了困难。

• 下载地址

hxxps://file.gdrive001[.]com/read/?cu=jaebonghouse&so=종합소득세%20신고관련%20해명자료%20제출%20안내.zip

[图1]含有恶意LNK的压缩文件

压缩文件中存在名为“国税局综合所得税说明提交指南.lnk”的恶意LNK文件，附加约300MB的虚拟数据，并包含恶意Powershell命令。

[图2] LNK中的Powershell命令

对于Powershell命令功能，首先创建LNK文件中存在的普通韩文文档，名称为“国税厅综合所得税澄清材料提交指南.hwp”，然后执行。以下是创建的正常韩文文档的内容。它通过冒充国税厅的方式伪装成涉税通知，用户在执行恶意LNK文件后可能会误认为执行了正常的韩文文档。

[图3] 普通韩文文档

然后，在“%Public%2641.zip ”路径下的LNK文件中创建相同的压缩文件。将创建的压缩文件解压后，运行start.vbs文件，删除LNK文件和压缩文件。解压后创建的文件如下，各文件的功能如[表1]所示。

[图4] 解压后创建的文件

[表1] 脚本函数

该脚本执行的最终恶意操作是窃取用户信息并下载其他恶意文件。被盗用户信息如下，信息发送至“hxxp://filehost001.com/upload.php” 。

• 除臭信息

下载文件夹文件列表

文档文件夹文件列表

桌面文件夹文件列表

IP信息

运行进程列表

系统信息

[图5] 窃取用户信息

总共需要下载两个附加文件：一个 ZIP 文件和一个 CAB 文件。首先，使用unzip.exe解压ZIP文件，解压时需要密码(a)。然后，通过rundll32.exe加载创建的文件。

• 下载地址

hxxps://file.gdrive001[.]com/read/get.php?cu=ln3&so=xu6502

[图6] 下载ZIP文件

使用expand命令解压CAB文件，并执行随后创建的temprun.bat文件。

• 下载地址

hxxp://filehost001[.]com/list.php?f=%COMPUTERNAME%.txt

[图7] CAB文件下载

目前，这两个 URL 均无法访问，因此无法确认其他下载的文件。通过我们的基础设施确认的最终可执行恶意软件是 Qasar RAT 和 Amadey，根据攻击者上传的文件，可以下载各种恶意文件。

除了之前介绍过的冒充国税厅的LNK之外，恶意LNK还以如下所示的各种主题进行传播，因此请务必小心。

• 分发文件名

230827-理事会参加机构状况.xlsx.lnk

202308 统一部组织重组说明材料.pdf.lnk

2023-2-停车登记申请表-学生用.hwp.lnk

课程登记配额.hwp.lnk

安全邮件.html.lnk

最近，针对国内用户的恶意LNK文件的传播不断增加，根据下载的文件，可能会造成额外的损害。用户应详细检查电子邮件的发件人，并避免查看来源不明的文件。此外，您应该定期检查电脑并确保您的安全产品始终更新到最新版本。

[文件诊断]

Downloader/LNK.Generic (2023.09.13.02)
Infostealer/BAT.Generic.S2319 (2023.09.11.02)
Downloader/BAT.Generic.SC192403 (2023.09.13.03)
Downloader/BAT.Generic.SC192404 (2023.09.13.03)
Downloader/BAT.Generic.SC192405 (2023.09.13.03)
Trojan/BAT.Runner.SC192407 (2023.09.13.03)

[行为诊断]

Fileless/EDR.Powershell.M11335

[IOC]

560e5977e5e5ce077adc9478cd93c2ac
7725d117d0bd0a7a5fb8ef101b019415
2d0747533d4d3f138481c4c4cda9ea1e
9c3eef28b4418c40a7071ddcba17f0e8
20f0e8362782c7451993e579336f2f3e
b5f698fb96835d155fbcc1ccd4f4b520
ca11ba5e641156ff72400e7f5e103aee
hxxps://file.gdrive001[.]com/read/?cu=jaebonghouse&so=종합소득세%20신고관련%20해명자료%20제출%20안내.zip
hxxps://file.gdrive001[.]com/read/get.php?cu=ln3&so=xu6502
hxxp://filehost001[.]com/list.php?f=%COMPUTERNAME%.txt

转载来源：https://asec.ahnlab.com/ko/57088/

图片来源网络侵权可联系删除