安全专家发现了一种新恶意软件,该恶意软件利用武器化的Word文档从GitHub下载PowerShell脚本。
安全专家发现了一种新的恶意软件,它使用带武器的Word文档从GitHub下载PowerShell脚本。
威胁参与者还使用此PowerShell脚本从图像托管服务Imgur下载合法的图像文件,并将嵌入式Cobalt Strike脚本解码为目标Windows系统。
研究人员Arkbird发布了使用隐写术在图像中隐藏恶意代码的恶意软件的技术细节。
Arkbird指出,样本可能是Muddywater APT武库的一部分。
执行的解码代码是钴罢工脚本。一旦使用XOR Op进行解码,我们可以注意到shellcode使用eicar字符串让我们考虑对SOC团队进行测试,这使用Wininet模块来联系shellcode中的C2。pic.twitter.com/Qlska7DteM-Arkbird(@Arkbird_SOLG)
攻击链开始于执行嵌入在旧版Microsoft Word(* .doc)文件中的宏,该文件是Muddywater集团在其攻击中所采用的技术。
执行嵌入式宏后,它会启动powershell.exe并尝试执行托管在GitHub(已归档)上的PowerShell脚本 。
PowerShell由一行组成,该行从图像托管服务Imgur下载PNG文件。
PowerShell脚本分析了图像的一组像素值,以准备下一阶段的有效负载。
“正如BleepingComputer观察到的并在下面显示的那样,有效负载计算算法运行一个foreach循环,以迭代PNG图像内的一组像素值,并执行特定的算术运算以获得功能性ASCII命令。” 在Bleeping Computer上报道了Axa Sharma
来源:BleepingComputer
一旦被解码,该脚本就会显示出Cobalt Strike有效载荷,攻击者可以利用该有效载荷在受感染的Windows计算机上部署“信标”。
Shellcode使用EICAR字符串来欺骗防御,使其认为该代码已用作安全测试的一部分,从而逃避了检测。
EICAR防病毒测试文件或EICAR测试文件是由欧洲计算机防病毒研究所(EICAR)和计算机防病毒研究组织(CARO)开发的计算机文件,用于测试计算机防病毒(AV)的响应程式。该测试文件可以使人们无需使用真实的计算机病毒就可以测试杀毒软件,而不是使用可能造成实际破坏的真实恶意软件。
有效负载通过WinINet 模块从C2接收指令 。
研究人员指出,用作C2的域已于12月20日注册,并且不再处于活动状态,而该脚本已于12月24日上传到GitHub帐户中。
该域已于2020年12月20日左右被记录。GitHub帐户已将脚本推送至12月24日(即VT中提交日期)。
域:端口:端口映射Mazzion1234-44451主机[] []:44451
路径:hxxp://Mazzion1234-44451.portmap.host/fVRO pic.twitter.com/ZdUpqgdMKf-Arkbird(@Arkbird_SOLG)
Bleeping Computer发布的帖子中提供了有关此攻击的其他详细信息,包括危害指标(IOC)和 YARA规则。
*编译:Domino
*来自:BleepingComputer