IOC:
https://docs.velociraptor.app/exchange/artifacts/pages/onenote/
http://172.245.45.213:3235
http://172.245.45.213
172.245.45.213
172.245.45.213
61F9DBE256052D6315361119C7B7330880899D4C
ADCE7CA8C1860E513FB70BCC384237DAE4BC9D26
F6F1C1AB9743E267AC5E998336AF917632D2F8ED
6c404f19ec17609ad3ab375b613ea429e802f063
요약:
2023년 1월 31일 화요일 21:59:57 GMT에 업데이트됨
작성자: 토마스 엘킨스
기여자: 맷 그린, 제임스 던, 헤르난 디아즈
Rapid7은 위협 행위자들이 악의적인 활동을 수행하기 위해 사용하는 광범위한 기술에 대한 연구를 일상적으로 수행한다. 이 연구의 한 가지 목표는 야생에서 사용되는 새로운 기술을 발견하여 새로운 탐지 및 대응 능력을 개발하는 것이다.
최근에 우리(Rapid7)는 OneNote 파일을 사용하여 악성 코드를 전달하는 악성 행위자를 관찰했다. 배치 스크립트가 포함된 OneNote 파일을 사용하는 특정 기술을 식별했으며, 실행 시 Base64 인코딩 바이너리를 해독하고 실행하기 위해 이름이 변경된 PowerShell 프로세스의 인스턴스를 시작했습니다. 이후 base64 인코딩 바이너리는 Redline Infostealer 또는 AsyncRat으로 확인된 최종 페이로드를 해독했다.
이 블로그 게시물은 Redline Infosteler 페이로드를 제공한 OneNote 파일의 분석 과정을 안내합니다.
OneNote 파일 분석
공격 벡터는 사용자가 피싱 전자 메일을 통해 OneNote 파일을 전송받았을 때 시작되었습니다. OneNote 파일이 열리면 사용자에게 그림 1과 같이 "파일을 보려면 두 번 클릭" 옵션이 표시됩니다.
그림 1 - OneNote 파일 "송금"에 "파일을 보려면 두 번 클릭" 버튼이 표시됨
"파일을 보려면 더블 클릭" 버튼이 이동 가능한 것으로 확인되었습니다. 버튼 아래에 숨겨져 배치 스크립트의 다섯 가지 바로 가기인 nudm1.bat을 관찰했다. 바로 가기를 숨김으로 배치하여 사용자가 "파일을 보려면 두 번 클릭" 단추와 상호 작용할 때 바로 가기 중 하나를 두 번 클릭합니다.
그림 2 - "파일을 보려면 더블 클릭" 버튼을 이동한 후 표시된 배치 스크립트 nudm1.bat 바로 가기
사용자가 "파일을 보려면 더블 클릭" 버튼을 두 번 클릭하면 배치 스크립트 nudm1.bat이 사용자 모르게 백그라운드에서 실행됩니다.
배치 스크립트 분석
통제된 환경에서 배치 스크립트 nudm1.bat을 분석하고 값을 저장하는 변수를 관찰했다.
에.....
Rapid7은 Redline Infosteler | Rapid7 블로그를 확산하기 위해 Microsoft OneNote를 사용하는 것을 관찰합니다:
https://www.rapid7.com/blog/post/2023/01/31/rapid7-observes-use-of-microsoft-onenote-to-spread-redline-infostealer-malware/
'Security > News' 카테고리의 다른 글
| 구글 광고에서 익명으로 정보를 훔치는 사람들 - K7 Labs 관련 IOC 50개 발견 (0) | 2023.02.03 |
|---|---|
| 포보스 랜섬웨어가 DLL 사이드 로딩을 사용하고 있는 것으로 밝혀졌다 - K7 Labs 관련 IOC 5개 발견 (0) | 2023.02.03 |
| LockBit Black의 공격 체인 및 포렌식 방지 활동 파악 관련 IOC 19개 발견 (0) | 2023.02.03 |
| CMSTP를 사용한 UAC 바이패스 관련 IOC 3개 발견 (0) | 2023.02.03 |
| HeadCrab: 세계적인 캠페인에서 새로운 최첨단 Redis 악성코드 관련 IOC 8개 발견 (0) | 2023.02.03 |
댓글0