СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
24.03.2025
#ИБ

Необычное вредоносное ПО из Камбоджи: Признаки целенаправленной атаки

Необычное вредоносное ПО из Камбоджи: Признаки целенаправленной атаки

20 марта 2025 года команда MalwareHunterTeam выявила новый образец вредоносного программного обеспечения, модифицированного для атак из Камбоджи. Вредоносный код поставлялся в виде ZIP-файла, который содержал файл LNK и нацеливался на пользователей, использующих Notepad++.

Механизм заражения

Вредоносная программа реализует следующие шаги для успешной атаки:

  • Извлечение содержимого файла Resources.zip в каталог Notepad++ по пути %AppData% с помощью PowerShell.
  • Если первый метод не сработает, программа пытается загрузить утилиту 7-zip для извлечения.
  • После извлечения запускается Notepad++.exe, что на самом деле является законным приложением WinGup, используемым для обновлений.
  • Создается запланированная задача под названием Notepad++, которая выполняет Notepad++.exe каждые 15 минут.
  • По завершении работы, вредоносное ПО удаляет файлы Resources.zip и R.bat.

Использование DLL и обфускация

Атака включает внедрение вредоносной библиотеки DLL, предназначенной для перехвата легитимной библиотеки libcurl.dll. Эта библиотека содержит ограниченный набор функций:

  • curl_easy_init – единственная функциональная функция.

Код хакера использует простой алгоритм XOR с переходящим ключом для обфускации строк, что делает его трудным для анализа. Дополнительно был выделен скрипт на Python, который помогает расшифровать строки в библиотеке DLL, включая ее имя и функциональные возможности.

Методы сохранения и загрузки шеллкода

Механизм сохранения управляется двумя функциями в таблице libcurl.dll: checkper (проверка сохранения) и setper (настройка сохранения). Эти функции работают для настройки сохранения с помощью ключа запуска в реестре, используя значение WinGup.

В процессе происходит расшифровка 16-байтового ключа oKqlpfBc5dkGuYi8, после чего загружается шеллкод с расшифрованного URL с помощью специальной строки пользовательского агента. Этот шеллкод, вероятно, расшифровывается с помощью алгоритма AES (вероятно, AES-128), использующего библиотеку Crypto++.

Заключение

Анализ показывает, что доступ к финальному этапу зашифрованного шеллкода остается закрытым. Различные аспекты цепочки заражения, такие как методы обфускации, очистка следов и временные метки компиляции, указывают на то, что это может быть целенаправленная кибероперация, а не случайная атака.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: