概述
AhnLab 安全情报中心 (ASEC) 证实,大量 SmokeLoader 恶意软件正在针对乌克兰政府和公司进行分发,最近针对乌克兰的攻击似乎有所增加。到目前为止,确定的目标包括乌克兰的司法部、公共机构、保险、医疗、建筑和制造公司。
电子邮件的格式与图 1 所示相同,电子邮件的内容是用乌克兰语编写的。正文包含与发票相关的短语,并提示您运行附加的文件。
[图1] 网络钓鱼诈骗
附件是一个压缩文件(7z),里面有另一个压缩文件(ZIP)。该存档包含一个 SFX 样式的 EXE 文件和一个伪装成 PDF 扩展名的 SmokeLoader。
[图2] ZIP内部
[图3]伪装成 PDF 的流氓 PE
在 SmokeLoader 的情况下,扩展是 PDF,因此如果用户单击它来运行它,它将无法正常运行。该文件由随它存在的SFX执行,整体操作过程如图4所示。
[图4]
首先,SFX 文件生成一个 PDF 文件和一个 BAT 文件,然后执行它。PDF 文件是一个诱饵文件,用于诱骗用户成为合法文件,BAT 文件使用以下命令运行 SmokeLoader。
[图5] 普通PDF
SmokeLoader是一种下载器类型的恶意软件,它允许您通过连接到C&C服务器并按照命令下载其他模块或恶意软件。执行时,将注入资源管理器 .exe,并通过该过程执行恶意操作。首先,它在 %AppData% 路径中使用名称“ewuabsi”执行自复制,并为其提供 Hidden 和 System Files 属性。之后,它将尝试连接到下面的C&C服务器,并且可能会额外下载各种恶意软件,例如Lockbit勒索软件。
IOC
Domain
hxxp://lumangilocino[.]ru/index.php
hxxp://limanopostserver[.]ru/index.php
hxxp://numbilonautoparts[.]ru/index.php
hxxp://specvestniknuk[.]ru/index.php
hxxp://agropromnubilon[.]ru/index.php
hxxp://specvigoslik[.]ru/index.php
hxxp://avicilombio[.]ru/index.php
hxxp://germagosuplos[.]ru/index.php
hxxp://niconicalucans[.]ru/index.php
hxxp://civilomicanko[.]ru/index.phpMD5
852ce0cea28e2b7c4deb4e443d38595a
7ccf5bb03e59b8c92ad756862ecb96fd参考链接:https://asec.ahnlab.com/ko/60384/
图片来源网络目标可联系删除
