IOC:
http://2023foco.com.br/plmckv.hta
http://2023foco.com.br/vvvvv.txt
http://2023foco.com.br/serverhta.hta
http://2023foco.com.br/dcreverso.txt
http://2023foco.com.br/2.txt
http://2023foco.com.br/printa.txt
http://2023foco.com.br/runpe.jpg
http://2023foco.com.br/plmckv.hta
http://2023foco.com.br/vvvvv.txt
http://2023foco.com.br/serverhta.hta
http://2023foco.com.br/dcreverso.txt
http://2023foco.com.br/2.txt
http://2023foco.com.br/printa.txt
http://2023foco.com.br/runpe.jpg
http://2023foco.com.br/plmckv.hta
http://2023foco.com.br/vvvvv.txt
http://2023foco.com.br/serverhta.hta
http://2023foco.com.br/dcreverso.txt
http://51.79.116.37:8848
http://2023foco.com.br/2.txt
http://2023foco.com.br/printa.txt
http://2023foco.com.br/runpe.jpg
http://2023foco.com.br/plmckv.hta
http://2023foco.com.br/vvvvv.txt
http://2023foco.com.br/serverhta.hta
http://2023foco.com.br/dcreverso.txt
http://2023foco.com.br/2.txt
http://2023foco.com.br/printa.txt
http://2023foco.com.br/runpe.jpg
http://51.79.116.37:8848
51.79.116.37
51.79.116.37
ea64cc5749f48f610074636426fdfb4c
b810d06b6ead297da6d145fca80c80b2
ac64e8e7eb01755cc363167dd7653d53
824584841251baa953b21feb5f516bed
407b0b88187916dc2e38c8d796c10804
d5dcb2348a9c414dbd980d7e3df63fe8
c45f6c4e3222c4308c80c945fb3ac4dc
요약:
/plmckv.hta” 주소에 존재하는 악성 명령어를 실행하게 된다.
[그림 3] chm 내 악성 스크립트
[그림 4] 프로세스 트리
해당 주소에는 악성 VBScript 가 존재하며 명령어의 일부는 [그림 5] 와 같다. 악성 VBScript 는 탐지를 우회하기 위해 문자열이 쪼개진 형태이며 파워쉘 명령어를 실행하는 기능을 수행한다.
[그림 5] 악성 VBScript
실행되는 파워쉘 명령어는 2가지로, 아래 URL 에서 각각 vbs 및 hta 파일을 다운로드 후 실행한다.
다운로드 URL hxxp://2023foco.com[.]br/vvvvv.txt (C:\ProgramData\v.vbs) hxxps://2023foco.com[.]br/serverhta.hta (C:\ProgramData\v.hta)
1. v.vbs
먼저, v.vbs 파일은 [그림 6] 과 같이 알아보기 힘든 형태로 난독화되어 있다.
[그림 6] v.vbs 코드 일부
난독화 해제 시, 파워쉘 명령어를 확인할 수 있으며 파워쉘 명령어는 스크립트 내 인코딩된 형태로 존재하는 닷넷 DLL 을 로드한다. 해당 DLL 은 Loader 파일로 인자로 전달되는 URL 에서 악성 데이터를 받아 메모리상에 로드한다.
[그림 7] 난독화 해제된 명령어 일부
[그림 8] DLL 로드 명령어
로드된 DLL 은 리버스된 악성 URL 을 인자로 받아 해당 URL 에서 추가 데이터를 다운로드 후, “C:\\Windows\\Microsoft.NET\\Framework\\v4.0.30319\\RegAsm.exe” 프로세스에 로드하여 실행한다.
다운로드 URL hxxps://2023foco.com[.]br/dcreverso.txt
[그림 9] Loader
Loader 에 의해 다운로드되어 실행되는 데이터가 실제 악성 행위를 수행하며, 깃허브에 공개된 오픈 소스 RAT 악성코드 AsyncRAT 이다. 해당 악성코드는 C2 로부터 공격자의 명령을 받아 다양한 악성 행위를 수행할 수 있으며 기본적으로 Anti-VM, 키로깅, 원격 쉘 등의 기능이 존재한다. 추가로, C2 및 port 등 악성 행위에 필요한 문자열을 모두 암호화한 형태로 가지고 있으며 [그림 10] 과 같이 복호화하여 사용한다.
C2 51.79.116[.]37:8848
[그림 10] AsyncRAT
2. v.hta
v.hta 는 추가 명령어 실행 및 시작 프로그램 생성 기능을 수행한다. 먼저, 첫번째 기능인 추가 명령어 실행은 파워쉘 명령어를 통해 아래 url 에서 받아온다.
다운로드 URL.....
윈도우 도움말 파일(*.chm) 로 유포 중인 AsyncRAT - ASEC BLOG:
https://asec.ahnlab.com/ko/46923/
'Security > News' 카테고리의 다른 글
| 사기성 "Crypto Rom" 거래 앱이 Apple 및 Google 앱 스토어에 잠입합니다 – Sophos News 관련 IOC 5개 발견 (0) | 2023.02.03 |
|---|---|
| 멀웨어를 제공하는 데 점점 더 많이 사용되는 OneNote 문서 | Proofpoint 관련 IOC 111개 발견 (0) | 2023.02.03 |
| 네이버 로그인화면으로 위장한 웹페이지 - ASEC BLOG 관련 IOC 7개 발견 (0) | 2023.02.03 |
| AweSun 취약점 공격으로 유포 중인 Paradise 랜섬웨어 - ASEC BLOG 관련 IOC 9개 발견 (0) | 2023.02.03 |
| 몰 버트 | .악성 광고 공격으로 번창하는 NET 가상화 - SentinelOne 관련 IOC 23개 발견 (0) | 2023.02.03 |
