Powrót złośliwych makr w dokumentach Word i Excel

• Constitution Day International Academic Forum.doc
• 28th North Korea-South Korea Relations Experts Discussion***.doc
• Honorarium Template.doc
• email_20210516.xls
• email_20210414.xls

Niedawno odkryte pliki Excela zawierają datę dystrybucji w swoich nazwach, takie jak „email_20210516.xls”. Dodatkowo, osoby atakujące dodały również informacje o krajowych firmach jako znak wodny oraz stopkę na dole stron, aby dodatkowo zwiększyć wiarygodność dokumentów.

Gdy użytkownicy klikną opcję „Enable Content”, pojawi się okno do wpisania numeru z otrzymanej wiadomości e-mail, dzięki czemu plik będzie wyglądał jak normalny, zabezpieczony dokument, który żąda od użytkowników wprowadzenia 6-cyfrowego kodu. Jeśli nie zostanie wprowadzona 6-cyfrowa liczba, ponownie pojawi się wyskakujące okienko.

Po kliknięciu „Enable Content” złośliwe makro jest automatycznie uruchamiane. W tym przypadku makro to polecenie Powershell, które łączy się z adresem hxxp://manstr.myartsonline.com/pc/kj[.]txt w celu pobrania i uruchomienia dodatkowych skryptów.

Każdy z powyżej wymienionych złośliwych załączników używa takiego samego kodu makra. Nazwy zmiennych i formaty używane w kodzie są takie same. Różne są tylko adresy serwerów C2, z których pobierany jest ładunek.

Ten sam atakujący prawdopodobnie rozpowszechniał zarówno pliki Excel, jak i pliki Word, ponieważ każdy z nich pobiera skrypt, który wykonuje dokładnie te same zachowania związane z wyciekami informacji o użytkowniku, pobieraniem dodatkowych skryptów itp. Poniżej przedstawiono skrypt potwierdzony z C2 (hxxp://warms. atwebpages.com/rh/ee[.]txt):

Jego funkcje obejmują kradzież informacji o komputerze użytkownika i pobieranie dodatkowych plików. Skrypt zbiera informacje z poniższej listy, zapisując zebrane dane w pliku %APPDATA%\Ahnlab\Ahnlab.hwp i przesyłając je do hosta hxxp://warms.atwebpages.com/rh/post[.]php :

• ostatnio używane pliki i programy
• lista zainstalowanych aplikacji
• informacje o systemie (zrzut z systeminfo)
• lista zaplanowanych zadań

Następnie skrypt pobiera określony ciąg z adresu URL hxxp://warms.atwebpages.com/rh/ee.down, dekoduje go i uruchamia w tle za pomocą polecenia „Start-Job –ScriptBlock”. Ponadto próbuje utworzyć rejestr o nazwie Alzipupdate w HKCU:\SOFTWARE\Microsoft\Windows\CurrentVersion\Run.

Zespół specjalistów nie mógł potwierdzić późniejszego działania kodu, ponieważ podany adres URL jest niedostępny. Jednak w tej samej domenie wykryto następny złośliwy skrypt, którego działanie jest jeszcze bardziej ukrywane w systemie oraz pobiera on jeszcze bardziej wrażliwe informacje. Kompleksowa analiza zachowania malware tutaj.

Na koniec, wykonywane jest polecenie, aby zapisać zebrane informacje do %AppData%\OneDriver\out\PI_001.dat, a następnie wysyłać je mailem do flower9801@hanmail[.]net :

Oprócz kilku plików wymienionych na początku artykułu, zauważono wiele innych i na pierwszy rzut oka niepodobnych do siebie dokumentów Word i Excel. Zawartość ich makr jest jednak taka sama lub analogiczna, co świadczy o tym, że są tworzone i dystrybuowane przez tego samego aktora.

O złośliwych makrach pisaliśmy już w naszych wcześniejszych artykułach. Ponieważ po uruchomieniu makra, zazwyczaj dokumenty prezentują swoją dodatkową zawartość, to ciężko jest ustalić użytkownikom, że rzeczywiście były złośliwe. Powinniśmy zachować ostrożność i powstrzymać się od otwierania plików z nieznanych źródeł. Zwłaszcza gdy zachęcają do uruchomienia makr poprzez wyskakujące okienka!