安实验室安全情报中心 (ASEC) 此前曾通过一篇题为《Orcus RAT 被伪装成韩语文字处理器破解程序进行传播》[1]的帖子披露了一起攻击案例,其中威胁行为者向韩国用户传播了 RAT 和 CoinMiner。直到最近,攻击者还创建并传播了各种恶意软件,例如下载器、CoinMiner、RAT、Proxy 和 AntiAV。
韩国的许多系统都容易受到恶意软件的感染,这些恶意软件以合法程序的破解版本为幌子进行传播,例如 Hangul Word Processor 或 Windows 或 Microsoft Office 的激活工具。威胁行为者一直在通过在此过程中添加另一层来升级其恶意软件,即在受感染系统的任务计划程序中注册。任务注册后,任务计划程序会执行 PowerShell 命令来安装恶意软件。如果不修复任务计划程序,新的恶意软件就会持续安装在系统上。
由于 V3 可以修复恶意软件安装的任务,因此安装了 V3 的用户即使安装伪装成破解软件的恶意软件也不会遇到重复安装恶意软件的问题。但是,没有 V3 的系统可能会遭受恶意软件的持续安装,因为尽管删除了已安装的恶意软件,它们可能无法修复任务计划程序。已安装的恶意软件污点包括一种运行更新的类型,这表明即使阻止了之前的 URL,感染仍会持续存在,因为注册到任务计划程序的 PowerShell 命令不断变化。这个问题导致许多受感染的韩国系统无法修复,攻击者已经在利用他们的弱点将系统用作代理或挖掘加密货币。由于这些系统的控制权已被窃取,其用户的信息也很容易被盗。
1.攻击流程
此次攻击流程与以往类似,近期发现的一起传播案例中,恶意软件伪装成破解版微软Office,通过文件共享服务和种子进行传播。与以往样本不同的是,此次攻击增加了获取下载URL和上传恶意软件平台的流程。
图 1. 攻击流程
2.伪装的恶意软件
由于伪装的恶意软件在安装时会生成并显示破解软件,因此用户可能会认为这是合法的破解软件。
图 2. 恶意软件执行时安装的破解程序
伪装成破解软件进行传播的恶意软件是使用.NET开发的,最近被发现经过了混淆处理。混淆前其格式如下,初次执行后通过访问Telegram获取下载URL。
图3. 利用Telegram获取下载URL的流程
最近分发的恶意软件有两个 Telegram URL 和一个 Mastodon URL。每个个人资料都包含一个用于 Google Drive URL 或 GitHub URL 的字符串。威胁行为者在他们的频道上发布了“我更喜欢危险的自由而不是和平的奴役。”这句话和联系方式。
图 4. 威胁行为者的 Telegram 个人资料
图 5. 威胁行为者的 Telegram 频道
从GitHub和Google Drive下载的数据是经过Base64加密的字符串,如下所示。解密后,这些字符串被证明是PowerShell命令,最终负责安装各种恶意软件。
图6. Base64加密的命令
3.恶意软件分析
3.1. 更新程序
该恶意软件的显著特征包括将 PowerShell 程序粘贴到“C:ProgramDataKB5026372.exe”以供使用,以及下载上传到 GitHub 和 Google Drive 的压缩文件,然后使用安装在“C:ProgramDataGoogle7z.exe”中的 7zip 程序对其进行解压。这些方法与上一篇博文中介绍的策略完全相同;锁定压缩文件的密码也一直是“x”。
图 7. 使用 7z 和 PowerShell 安装恶意软件
名为“software_reporter_tool.exe”的更新程序恶意软件负责下载和维护恶意软件的持久性。更新程序还会注册到任务计划程序,以便即使在系统重新启动后也能持续运行。注册的 PowerShell 会再次更新更新程序恶意软件并安装其他恶意软件。
图 8. 注册到任务计划程序的 PowerShell 命令
3.2.已安装的恶意软件
在以往的案例中,攻击者会根据目标系统中是否安装了 V3 来选择安装 Orcus RAT 或 XMRig。在额外安装的六种恶意软件类型中,Updater、XMRig 和 Orcus RAT 与过去的案例类似。
Orcus RAT 不仅支持基本的远程控制功能,例如系统信息收集、命令执行以及文件、注册表和进程的任务,而且还提供使用键盘记录和网络摄像头的信息泄露功能。此外,由于它支持通过 HVNC 和 RDP 进行屏幕控制,威胁行为者可以控制和泄露受感染系统的信息。
图 9. 攻击中使用的 Orcus RAT
为此次攻击部署的 XMRig 还支持与之前案例类似的选项。威胁者使用“stealth-targets”选项(当指定进程运行时停止挖矿),将挖矿进程设置为在系统执行占用大量系统资源的程序(如游戏、硬件监控实用程序和图形处理程序)时停止。同时,“kill-targets”选项(关闭指定名称的正在进行的进程)用于针对消耗系统资源的网格程序或各种安全程序的安装程序。
{“algo”: “rx/0”,“pool”: “minecraftrpgserver[.]com”,“port”: 27037,“wallet”: “ZEPHs9eCMMza6HRoytdTWnUBP28xnRMhUK7z6smekMurCVVS57GPfqK5uewE7cgiqn4jBoJbi9teC9e6fraJaQoL2UhTMXNB1vs”,“password”: “”,“nicehash”: false,“ssltls”: true,“max-cpu”: 20,“idle-wait”: 5,“idle-cpu”: 80,“stealth-targets”: “MSIAfterburner.exe,HWiNFO32.exe,HWiNFO64.exe,HWMonitor_x32.exe,HWMonitor_x64.exe,HWMonitorPro_x32.exe,HWMonitorPro_x64.exe,NZXT CAM.exe,speedfan.exe,Core Temp.exe,OpenHardwareMonitor.exe,OCCT.exe,FurMark.exe,TslGame.exe,TslGame_SE.exe,GTA5.exe,GTA6.exe,fifazf.exe,fifa4zf.exe,fifa5zf.exe,FIFA21.exe,FIFA22.exe,FIFA23.exe,FIFA24.exe,FIFA25.exe,League of Legends.exe,LOSTARK.exe,VALORANT.exe,Overwatch.exe,suddenattack.exe,javaw.exe,SC2.exe,SC2_x64.exe,DNF.exe,BlackDesert64.exe,BNSR.exe,ProjectLH.exe,Wow.exe,AfterFX.exe,AFCStudio2.exe,cod.exe,RobloxPlayerBeta.exe,RobloxPlayer.exe,KartDrift-Win64-Shipping.exe,Adobe Premiere Pro.exe,EternalReturn.exe,destiny2.exe,blender.exe,Photoshop.exe,acad.exe,Diablo IV.exe,Cyphers.exe,r5apex.exe,dota2.exe,GameOverlayUI.exe,EOSOverlayRenderer-Win64-Shipping.exe,EpicOnlineServicesUserHelper.exe,obs64.exe,Lineage2M.exe,Q7-Win64-Shipping.exe,rojectN-Win64-Shipping.exe,ProjectER-Win64-Shipping.exe,DW9.exe,XSplit.Core.exe,XSplitVCam.exe,fczf.exe”,“kill-targets”: “V3Lite_Setup.exe,V3Lite_Setup (1).exe,V3Lite_Setup (2).exe,openssl.exe,natsvc.exe,smmgr.exe,v_service.exe,v_member.exe,akdanhall-installer-build-433.msi,akdanhall-installer-build-433 (1).msi,akdanhall-installer-build-433 (2).msi”,“stealth-fullscreen”: false}
3Proxy 是一款配备代理服务器功能的开源工具。该恶意软件将 3306 端口添加到防火墙规则中,并将 3Proxy 注入合法进程。注入后,3Proxy 打开 3306 端口,使威胁行为者能够将受感染的系统滥用为代理。
图10. 3Proxy的配置文件
其他恶意文件包括 PureCrypter(可从外部来源下载并执行额外负载)和 AntiAV 恶意软件(可破坏安全产品的运行)。该恶意软件通过在程序执行时不断修改安装文件夹中的配置文件来阻止安全程序正常运行。
图 11. 韩国安全程序因 AntiAV 恶意软件而无法正常运行
4。结论
伪装成破解软件的恶意软件的传播仍在继续,目标是韩国用户。威胁行为者传播的恶意软件看起来像是 Windows、MS Office 和 Hangul Word Processor 的破解版本,导致许多韩国用户成为攻击的受害者。此外,攻击者将恶意软件安装命令注册到任务计划程序以保持持久性,导致在用户无法删除任务计划程序的系统中重复安装新的恶意软件。
攻击者每周都会多次分发新的恶意软件以绕过文件检测,这种行为一直持续到最近。因此,尽管已删除了以前的恶意软件,但注册的任务计划程序仍会定期安装新的恶意软件,因此受感染系统的数量正在上升。
用户在运行从文件共享网站下载的可执行文件时必须小心谨慎,建议从其官方网站下载实用程序和游戏等产品。他们还必须将 V3 更新到最新版本,以防止本文介绍的恶意软件感染。对于已经感染的系统,可以通过在安装 V3 后修复任务计划程序来防止重复感染恶意软件。
文件检测
– Downloader/JOB.Generic.S2560 (2024.02.02.02)– Downloader/Win.Agent.C5590498 (2024.02.19.03)– Downloader/Win.Agent.C5602420 (2024.03.20.00)– Downloader/Win.Agent.C5609953 (2024.04.08.02)– Downloader/Win.Agent.C5613148 (2024.04.16.00)– Downloader/Win.Agent.C5619970 (2024.05.09.02)– Backdoor/Win.Orcusrat.C5619968 (2024.05.09.02)– Trojan/Win.AntiAV.C5619969 (2024.05.09.02)– Dropper/Win.3Proxy.C5619967 (2024.05.09.02)– Trojan/Win.3Proxy.C5619966 (2024.05.09.02)– Downloader/Win.PureCrypter.C5619963 (2024.05.09.02)– CoinMiner/Win.XMRig.C5616159 (2024.04.25.02)– CoinMiner/Win.XMRig.C5613170 (2024.04.16.00– Data/BIN.EncPe (2024.04.16.00)
行为检测
- Infostealer/MDP.Behavior.M1965- DevenseEvasion/MDP.AntiVM.M3090- Malware/MDP.Behavior.M3108- Behavior/MDP.Create.M4591- Execution/MDP.Event.M4832
IoCs
MD5s
– 77a5bd4e03fc9a653b4e8c33996d19a0:伪装成破解软件的恶意软件 (oinstall.exe)– 3a4d761de4fac0c2e47a5c84fca78c0f:下载程序 (software_reporter_tool.exe)– 5dd8cdd4e80185b60d43511987b254cd:下载程序 (software_reporter_tool.exe) – 6a648b7d0e4ae16f6beb170decd5b0b6:下载程序 ( software_reporter_tool.exe)– 08299a45472f501644b4daa458336428:下载程序 (software_reporter_tool.exe)– 27623130a8e8b792fc99cbdcecee3177: 3Proxy – Dropper (dwm.exe)– abdbfe7b8f4976935b87a0a0e67d1da0: 3Proxy (dwm.exe)– 93899d3008af9df6b7d261445b3e8f59: Orcus RAT (dwm.exe)– 151cd4702bc15421c24fd5930f119a48: PureCrypter (dwm.exe)– d00feba624fa6fdcbad1b1219f3f2da7: AntiAV (dwm.exe)– 1b5393ac3eceda9b16836039f7d04c5e: XMRig (InstallUtil.exe)– c9cdc0c746fa9095bd87b455f8f9c3c8:XMRig – 编码– f836a133490929ea0185d50e10bd11c0:XMRig – 解码
Posted By Sanseo , May 30, 2024 Distribution of Malware Under the Guise of MS Office Cracked Versions (XMRig, OrcusRAT, etc.)https://asec.ahnlab.com/en/66017/
原文始发于微信公众号(Ots安全):以 MS Office 破解版本为幌子传播恶意软件(XMRig、OrcusRAT 等)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论