Orcinius后门新样本分析

概览

本周，SonicWall Capture Labs威胁研究团队调查了一个Orcinius恶意软件样本。这是一个多级木马，它使用Dropbox和Google Docs下载第二级有效负载并保持更新。它包含一个混淆的VBA宏，可以连接到Windows来监控正在运行的窗口和击键，并使用注册表项创建持久性。

感染周期

初始感染方法是Excel电子表格，在本例中为“CALENDARIO AZZORTI. xls”。

图1：初始文件检测

该文件似乎是一个意大利日历，其中包含三个工作表，讨论各个城市的计费周期。

图2：打开时看到的可见工作表之一

该文件有一个VBA宏，该宏已使用称为“VBA跺ping”的技术进行了修改，其中原始源代码被销毁，只留下编译后的p代码。这意味着在文档中查看宏将不显示任何内容，或者显示打开（和关闭）文件时运行的代码的无害版本，如Olevba所示。

图3：显示一些恶意功能的Olevba工具输出

在运行时，该文件将运行宏并执行以下操作：

• “HK CU\Software\Microsoft\Office\Excel\Security\VB A警告”“HK CU\Software\Microsoft\Office\Word\Security\VB A警告”
• 枚举当前使用EnumThreadWindows运行的窗口
• 通过将密钥写入HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\Excel\Resiliency\StartupItems来设置持久性
• 到达两个编码的URL并尝试使用WScript.Shell下载
• 使用SetWindowsHookEx监控键盘输入
• 为激活和下载尝试创建多个随机计时器

图4：枚举正在运行的窗口

图5：为键盘监控设置挂钩

图6：URL和Synaptics引用

还有对“Synaptics. exe”和“cache1.exe”的引用。此示例和列出的URL与Remcos、AgentTesla、Neshta、HTMLDropper和其他伪装成“Synaptics.exe”的URL相关联，并且可以在VirusTotal上找到。在运行时，两个地址的页面都不可用。

SonicWall保护

为确保SonicWall客户准备好应对此恶意软件可能导致的任何利用，已发布以下签名：

• Orcinius

IOCs。

28dd92363338b539aeec00df283e20666ad1bdee90d78c6376f615a0b9481f97

网址

www-en v. dropbox-dns[.]com

hxxps://docs.google[.]com/uc？id=0BxsMXGfPIZfSVzUyaHFYVkQxeFk&导出=下载

hxxps://www.dropbox.com/s/zhp1b06imehwylq/Synaptics.rar?dl=1

参考文章： https://blog.sonicwall.com/en-us/2024/06/new-orcinius-trojan-uses-vba-stomping-to-mask-infection/

图片来源于网络侵权可删