1.摘要

近期,威胁情报中心监测到伪装文档的攻击样本,伪装内容与“检察院裁决书”、“台资交账”等,核心远控程序使用了开源AsyncRAT远控,通过分析样本后发现,回连域名解析IP为中国台湾地区。

 

2.分析

我们捕获到“李娟.Docx.exe”,“黃.exe”等多个伪装为word图标或内容的恶意程序。

以“李娟.Docx.exe”

(32f8b3e8d4c0c89ac03192ef9db6d1e2)为例进行分析,样本伪装为word图标,为C#编写的Loader程序,

样本会释放bat脚本和伪装文档到temp目录,执行bat并打开伪装文档,

文档伪装内容为检察院裁判公告,

文档属性信息中可以看到最后修改时间为2020年10月14日,及文档内容中出现的时间可以说明是近期出现的攻击活动。

Bat程序会执行powershell,

Powershell会访问远程内容加载执行,远程内容被放置在minpic[.]de上,远程地址为

https://www.minpic[.]de/k/b33p/nmy0x/

内容为最终载荷,C#开源远控程序AsyncRAT。

回连到andy1688.ddns[.]net。

 

3.相关分析

另外伪装为word图标的“黄.exe”的伪装文档内容也为检察院裁决书相关。

“更換新S-docx.exe”程序伪装文档内容为检察院拘捕令。

Image.exe程序,伪装为图片内容与“资金洗钱”相关。

最终载荷也使用了AsyncRAT。

 

4.总结

当前,处于较为紧张的局势状态,此批捕获到的样本高度可疑,需引起重视。

安恒威胁情报中心依托核心数据能力,提供威胁情报数据,威胁情报检测等专业能力。

 

5.IOC

32f8b3e8d4c0c89ac03192ef9db6d1e2

45af1843f7d26ef2fe41ca447fcaa8a2

60a763d7a45adfb76cab058765a38994

0edb41acc19b43a6fca9ec0299a1e495

633462867d0371745692a62c96dcfddf

de312dc399c6861874bd828ff65be880

2120e702d60bf4c8b73e9cc898682a34

e832269f556af0c2343a7b10d4882525

7424c0241b2e88c4b2cefa14f9646341

c9cf97cd924c62325c623a7c74ad9dc0

c05de8d42b847e1956741c2579a54027

3fababcd18fd8a986676ea55cdc16d14

4f6c0849b1ec07b84eb1fccbdc3a7d2d

53f3a5d5989e66e323a2e887865b100c

57c05e7dc30fa660fbe7aaa1a660799c

6e5629dc23e884cbe202e0bd33334a9c

54aa0b147daedae52e1ae07a85aa430d

953d45534349a9c3ce2eeb3f43da4eb9

c50748b4f8ef1ad46044de5fe49cbae0

c3e2758dc78fe4c04cf9c469bb1d023d

05d2450b18bfe230c118653700dc503d

834be313665b88c7315e74c7f2179d25

6b745df2a6227c5898dc1490babd1841

8ef5c3930ef7ccec2862a765e992fdfd

2f404e225bdc919bd4cf407ce1a3b2bd

2748cfb72696852c00c381e53a14342f

andy1688.ddns[.]net

123.240.122[.]235

123.110.29[.]249

安恒信息威胁情报中心专注于提供威胁情报数据和分析服务

文章原文链接:https://www.anquanke.com/post/id/223137