Orcinius后门新样本分析

2024年 7月 2日 113.6k 0

概览

本周,SonicWall Capture Labs威胁研究团队调查了一个Orcinius恶意软件样本。这是一个多级木马,它使用Dropbox和Google Docs下载第二级有效负载并保持更新。它包含一个混淆的VBA宏,可以连接到Windows来监控正在运行的窗口和击键,并使用注册表项创建持久性。

感染周期

初始感染方法是Excel电子表格,在本例中为“CALENDARIO AZZORTI. xls”。

Orcinius后门新样本分析-1

图1:初始文件检测

该文件似乎是一个意大利日历,其中包含三个工作表,讨论各个城市的计费周期。

Orcinius后门新样本分析-2

图2:打开时看到的可见工作表之一

该文件有一个VBA宏,该宏已使用称为“VBA跺ping”的技术进行了修改,其中原始源代码被销毁,只留下编译后的p代码。这意味着在文档中查看宏将不显示任何内容,或者显示打开(和关闭)文件时运行的代码的无害版本,如Olevba所示。

Orcinius后门新样本分析-3

图3:显示一些恶意功能的Olevba工具输出

在运行时,该文件将运行宏并执行以下操作:

  • “HK CU\Software\Microsoft\Office\Excel\Security\VB A警告”“HK CU\Software\Microsoft\Office\Word\Security\VB A警告”
  • 枚举当前使用EnumThreadWindows运行的窗口
  • 通过将密钥写入HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\Excel\Resiliency\StartupItems来设置持久性
  • 到达两个编码的URL并尝试使用WScript.Shell下载
  • 使用SetWindowsHookEx监控键盘输入
  • 为激活和下载尝试创建多个随机计时器

Orcinius后门新样本分析-4

图4:枚举正在运行的窗口

Orcinius后门新样本分析-5

图5:为键盘监控设置挂钩

Orcinius后门新样本分析-6

图6:URL和Synaptics引用

还有对“Synaptics. exe”和“cache1.exe”的引用。此示例和列出的URL与Remcos、AgentTesla、Neshta、HTMLDropper和其他伪装成“Synaptics.exe”的URL相关联,并且可以在VirusTotal上找到。在运行时,两个地址的页面都不可用。

SonicWall保护

为确保SonicWall客户准备好应对此恶意软件可能导致的任何利用,已发布以下签名:

  • Orcinius

IOCs。

28dd92363338b539aeec00df283e20666ad1bdee90d78c6376f615a0b9481f97

网址

www-en v. dropbox-dns[.]com

hxxps://docs.google[.]com/uc?id=0BxsMXGfPIZfSVzUyaHFYVkQxeFk&导出=下载

hxxps://www.dropbox.com/s/zhp1b06imehwylq/Synaptics.rar?dl=1

参考文章: https://blog.sonicwall.com/en-us/2024/06/new-orcinius-trojan-uses-vba-stomping-to-mask-infection/

图片来源于网络侵权可删

相关文章

Mallox勒索软件新Linux变种现世
伪装成破解程序和商业工具的新型恶意软件正在传播
Poseidon窃取程序通过Google广告感染Mac用户
大选开始之际,欧盟各政党遭受 DDoS 攻击
微软2024
Operation Veles:针对全球科研教育领域长达十年的窃密活动

发布评论