Η ομάδα hackers TA505 APT εξαπλώνει μια νέα παραλλαγή του ServHelper malware μέσω Excel 4.0, αποσκοπώντας στο άνοιγμα «backdoor» που θα της επιτρέψει να αποκτήσει πρόσβαση και να κλέψει ευαίσθητες πληροφορίες.
Οι TA505 hackers έχουν εμπλακεί σε διάφορες επιθέσεις, όπως το Dridex banking Trojan και Locky ransomware.
Η ομάδα TA505 στοχεύει κυρίως ιδρύματα, οργανισμούς, τράπεζες, επιχειρήσεις και εστιατόρια.
Στη συγκεκριμένη περίπτωση, οι hackers χρησιμοποιούν το Excel 4.0 macro Dropper για να στείλουν το ServHelper Backdoor και το payload.
Πώς μολύνεται το σύστημα;
Αρχικά το κακόβουλο φύλλο του Excel παραδίδεται μέσω malspam emails. Αν ο χρήστης-στόχος ανοίξει το έγγραφο, εκτελείται το Excel 4.0 macro και καλείται το msiexec.exe με σκοπό να γίνει λήψη και εκτέλεση του payload ServHelper.
Το ServHelper installer διαθέτει έγκυρη ψηφιακή υπογραφή.
Μόλις ο κακόβουλος κώδικας εκτελεστεί, θα εγκατασταθεί ένα αρχείο DLL, το οποίο εμπεριέχεται στον installer, στο ακόλουθο path: \%TEMP%\xmlparse.dll. Εν συνεχεία, μέσω του rundll32.exe καλείται το function με την ονομασία “sega”, το οποίο εμπεριέχεται στο κακόβουλο DLL.
Τo malware στη συνέχεια θα τρέξει ένα base64 encoded PowerShell script (το οποίο εμπεριέχεται στο xmlparse.dll ως resource) στο ακόλουθο path \%TEMP%\enu1.ps1.
Αργότερα, το κακόβουλο λογισμικό θα τρέξει το base64 encoded PowerShell script ελέγχοντας αν ένα μηχάνημα αποτελεί μέρος ενός domain. Επίσης ελέγχει αν ο χρήστης έχει δικαιώματα διαχειριστή ή αν είναι μέλος της ομάδας διαχειριστών.
Τέλος, το ServHelper επικοινωνεί με το C2 του για να λάβει εντολές από τον εισβολέα.
Η ομάδα TA505 αποτελεί σημαντική απειλή, καθώς αναπτύσσει συνεχώς εξελιγμένα κακόβουλα προγράμματα για διάφορους σκοπούς.
Ενδείξεις ότι υπάρχει κίνδυνος
Excel 4.0 macro Dropper
63522e00181e6b8d9ae8bfd51f7df8f8ebd0f42323e22047269df9c7a71c9b6d
NSIS Payloads
e0323064f2561ae02f9efae418aeaf433b3fe0e6e3a640a9c46ec404d4563de1 302aa690ae61d36769ecdaa3d23ac8fb167e80aed2fe5dbc8938f7b75c655a01
ServHelper core DLL
bee3b2710f7e874ce05e6b8b45cc20e021b9c00ee337238598e71e7315128333 2f827084ecc300aea0c84cba8872c9a34e6afce56eea454d74f4dd3144301a2d
Encoded reconnaissance PowerShell script
da7465f14cd8a934668f59974e8836e02a9b1ff948bfe964040b840ab61697dc da7465f14cd8a934668f59974e8836e02a9b1ff948bfe964040b840ab61697dc
