СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
12.01.2025
#Dev#ИБ#Инфра

Новый вредоносный файл: из Таиланда через Microsoft Management Console

Новый вредоносный файл: из Таиланда через Microsoft Management Console

20 декабря 2024 года на платформе VirusTotal был обнаружен опасный файл Microsoft Management Console (MSC) с названием «Пригласительное письмо.msc», отправленный из Таиланда. Данный файл представляет собой угрозу для систем, использующих Microsoft, благодаря использованию технологии GrimResource для выполнения curl-загрузки пакетного файла.

Механизмы вредоносной активности

Обнаруженный вредоносный файл осуществляет несколько критически важных вредоносных действий, в том числе:

  • Отключает диспетчер задач, изменяя параметр реестра DisableTaskMgr на 1.
  • Меняет значение EnableLUA в системных политиках на 0, что отключает уведомления о контроле учетных записей пользователей (UAC).
  • Сохраняет файл jisucommon.exe, добавляя его в раздел запуска реестра.
  • Создает запланированную задачу под названием Office_Settings, которая запускает выполнение пакетного файла jisu.bat каждые шесть минут.

Загрузка и использование легитимных приложений в злонамеренных целях

Пакетный файл jisu.bat предназначен для загрузки двух файлов: jisucommon.exe и FileAssociation.dll в скомпрометированную систему. Хотя jisucommon.exe является законным исполняемым файлом, связанным с приложением Jisu Office, хакеры используют его для перехвата библиотек DLL.

Функции шелл-кода и шифрование данных

Вредоносная активность включает загрузку опасной версии FileAssociation.dll, содержащей встроенный шелл-код, который расшифровывается во время выполнения. Процесс расшифровки инициируется функцией обратного вызова через EnumPropsExW().

Расшифрованный шелл-код использует алгоритм хэширования API на основе операции ROR13 для разрешения различных API Windows. Основная функция шелл-кода заключается в установлении сокетного соединения с удаленным хостом 45.150.128.212 через порт 443. После подключения шелл-код получает возможность загружать и выполнять дополнительную полезную нагрузку с сервера, контролируемого злоумышленником.

Шпионаж и высокомерие хакеров

Кроме того, вредоносный файл собирает системную информацию, такую как:

  • Серийный номер тома
  • Имя компьютера
  • Логин пользователя
  • Время безотказной работы

Эта информация затем шифруется с использованием ключа RC4. Хакеры демонстрируют высокий уровень уклонения от активного контроля и стремление сохранить контроль над скомпрометированными системами для потенциального шпионажа или дальнейших вредоносных действий.

Интересно, что наличие юмора в пути к PDB вредоносной библиотеки DLL указывает на высокомерие хакера, что может подорвать серьезность его действий или насмехаться над исследователями в области безопасности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу. Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: