연구원들은 Windows에서 알려지지 않은 맬웨어를 전달하기 위해 코로나바이러스 공포를 이용하여 중국 기반 APT 위협 행위자가 시작한 새로운 COVID-19 캠페인을 발견했습니다.
다양한 정부 및 민간 부문을 대상으로 하는 장기 APT 그룹에 의해 시작된 것으로 여겨지는 이 공격은 COVID-19 대유행을 활용하여 희생자를 감염시키고 감염을 유발합니다.
공격자들도 새로운 해킹 도구 이 캠페인에서 수상한 RTF 문서로 공격을 수행합니다.
이 공격에서 수집된 증거는 RTF 문서가 Anomali가 명명한 RTF 무기화 장치인 Royal Road를 사용하여 무기화되었음을 보여줍니다. Microsoft Word의 Equation Editor 취약점을 악용하는 데 주로 사용되는 "8.t RTF 익스플로잇 빌더"라고도 합니다.
악성 문서 중 일부는 몽골어로 작성되었으며 그 중 하나는 몽골 외무부에서 가져온 것으로 추정되며 문서에는 신종 코로나바이러스 감염에 대한 정보가 포함되어 있습니다.
감염 벡터
피해자가 악성 RTF 문서를 열면 Microsoft Word 취약점이 악용되고 intel.wll이라는 새 파일이 Word 시작 폴더에 드롭됩니다.
이것은 피해자가 MS 워드 응용 프로그램을 시작하고 감염 체인을 트리거할 때마다 Word Startup 폴더에 WLLextension이 있는 모든 DLL 파일을 시작하는 데 도움이 되는 RoyalRoad 웨폰라이저 지속성 기술의 새 버전 중 하나입니다.
또한 이 기술은 샌드박스에서 악성 코드가 실행되는 것을 방지하고 종료합니다.
후 intel.wll DLL이 로드되면 C2 서버( 95.179.242[.]6).
이 다음 단계에서는 다른 C2 서버에서 추가 기능을 얻기 위해 APT 행위자가 개발한 이 악성 코드 프레임워크의 메인 로더로 밝혀진 DLL 파일도 있습니다.
체크 포인트에 따르면 rese아치 감염 체인의 마지막 단계에서 적절한 명령이 수신 된 후 악의적 인 로더는 DLL 파일 형식으로 RAT 모듈을 다운로드하여 암호를 해독하여 메모리에로드합니다. 이 플러그인과 같은 아키텍처는 우리가받은 페이로드 외에 다른 모듈의 존재를 암시 할 수 있습니다. "
맬웨어에는 다음과 같은 핵심 기능이 포함된 RAT 모듈이 포함되어 있습니다.
- 스크린 샷 찍기
- 파일 및 디렉토리 나열
- 디렉토리 생성 및 삭제
- 파일 이동 및 삭제
- 파일 다운로드
- 새로운 프로세스를 실행
- 모든 서비스 목록을 얻으십시오
모든 C&C 서버는 벌 터 서버 및 도메인은 에서 GoDaddy 등록하다.
또한 읽기 : 코로나 바이러스 (COVID-19)는 어떻게 사이버 보안 운영을 방해 할 수 있습니까?
타협의 지표
RTF :
234a10e432e0939820b2f40bf612eda9229db720 751155c42e01837f0b17e3b8615be2a9189c997a ae042ec91ac661fdc0230bdddaafdc386fb442a3 d7f69f7bd7fc96d842fcac054e8768fd1ecaa88a dba2fa756263549948fac6935911c3e0d4d1fa1f
DLL :
0e0b006e85e905555c90dfc0c00b306bca062e7b dde7dd81eb9527b7ef99ebeefa821b11581b98e0 fc9c38718e4d2c75a8ba894352fa2b3c9348c3d7 601a08e77ccb83ffcd4a3914286bb00e9b192cd6 27a029c864bb39910304d7ff2ca1396f22aa32a2 8b121bc5bd9382dfdf1431987a5131576321aefb bf9ef96b9dc8bdbc6996491d8167a8e1e63283fe fcf75e7cad45099bf977fe719a8a5fc245bd66b8 0bedd80bf62417760d25ce87dea0ce9a084c163c 5eee7a65ae5b5171bf29c329683aacc7eb99ee0c 3900054580bd4155b4b72ccf7144c6188987cd31 e7826f5d9a9b08e758224ef34e2212d7a8f1b728 a93ae61ce57db88be52593fc3f1565a442c34679 5ff9ecc1184c9952a16b9941b311d1a038fcab56 36e302e6751cc1a141d3a243ca19ec74bec9226a 080baf77c96ee71131b8ce4b057c126686c0c696 c945c9f4a56fd1057cac66fbc8b3e021974b1ec6 5560644578a6bcf1ba79f380ca8bdb2f9a4b40b7 207477076d069999533e0150be06a20ba74d5378 b942e1d1a0b5f0e66da3aa9bbd0fb46b8e16d71d 9ef97f90dcdfe123ccb7d9b45e6fa9eceb2446f0 cf5fb4017483cdf1d5eb659ebc9cd7d19588d935 92de0a807cfb1a332aa0d886a6981e7dee16d621 cde40c325fcf179242831a145fd918ca7288d9dc 2426f9db2d962a444391aa3ddf75882faad0b67c 9eda00aae384b2f9509fa48945ae820903912a90 2e50c075343ab20228a8c0c094722bbff71c4a2a 2f80f51188dc9aea697868864d88925d64c26abc
쥐:
238a1d2be44b684f5fe848081ba4c3e6ff821917
출처: https://gbhackers.com/malware-via-weaponized-coronavirus-lure-documents/
